1.原理:
如执行语句:
-
String sql = " select * from users where user_name = '" + name + " ' ;
正常情况下是非常合理的。
如:
-
select * from users where user_name = 'cdmaok' ;
但恶意注入:
-
select * from users where user_name = 'cdmaok' or '1' = '1' ;
则可以获得全部资料。此处name = cdmaok or ' 1 ' = ' 1;
2. 应对
输入时可做过滤,用正则匹配过滤不合格数据,防范攻击。
阅读(484) | 评论(0) | 转发(0) |
