SQL 注入漏洞简单说明

SQL 注入,就是「给 SQL 语句插入东西」的意思。没有特殊说明的话,一般就是插入可能导致问题的内容。

早先的网站编写者没有留意到 SQL 的安全问题,会写出这种程序,浏览器端通过 URL 的 param 传递查询参数。然后下一个页面显示查询结果。

问题就可能产生了,如果用户添加一个在 URL 中加入一个 or 1=1 的条件,就能带出相关表的所有内容!

避免 SQL 注入漏洞攻击一些做法。在 Java JDBC 编程中,就强调不要拼接 SQL,而是要使用 Statement 的 set 方法来设置变量值。