1
我是數據庫領域的初學者,我正要理解,查詢的自由文本輸入可能會如何通過SQL注入來破壞數據庫。是否阻止查詢命令足以防止SQL注入?
其實,the relevant xckd概括起來完美:
這一定漫畫意味着,如果我不允許用戶形成任何類型的輸入包含SQL命令(如DROP,UPDATE,INSERT INTO等),那麼「非法」SQL查詢就無法完成。
有什麼我想念的嗎?或者我是對的?
A
回答
2
您不必禁止輸入中的所有SQL命令,只需確保它們僅被視爲自由文本,以便它們不會被意外執行爲命令。
這可能是一個良好的開端:
相關問題
- 1. hibernate命名查詢是否可以防止SQL注入攻擊?
- 2. 防止SQL注入查詢
- 3. namedparameter查詢如何阻止SQL注入
- 4. 查詢生成器是否阻止SQL注入?
- 5. 僅SSL是否阻止SQL注入?
- 6. psychopg2:是否cursor.mogrify防止sql注入?
- 7. 此代碼是否防止SQL注入?
- 8. 加密是否防止sql注入?
- 9. 是CodeIgnighter的數據庫庫足以防止針對SQL注入
- 10. sqlsrv_query函數是否足以防止數據庫注入?
- 11. 這是否足以防止使用MYSQL_QUERY注入Mysql
- 12. 防止SQL注入
- 13. 防止SQL注入
- 14. 防止sql注入
- 15. 正確驗證用戶輸入不足以防止sql注入
- 16. 防止命令行注入攻擊
- 17. TABLOCK,HOLDLOCK是否足以防止INSERT?
- 18. SQL防止SQL注入
- 19. 阻止查詢輸出--destination_table命令
- 20. 防止插入SQL注入
- 21. str_replace的這種用法足以防止SQL注入攻擊嗎?
- 22. PHP MySQLI阻止SQL注入
- 23. 阻止SQL注入C
- 24. PHP阻止SQL注入
- 25. 這是防止SQL注入Wordpress查詢的最佳方法
- 26. Java/Hibernate標準查詢API是否防止注入?
- 27. 反Antisamy是否可以防止Sql注入
- 28. PHP activerecord基本CRUD操作是否可以防止SQL注入?
- 29. SQLiteDatabase.insert()是否可以防止SQL注入攻擊?
- 30. 防止SQL注入ASP .NET
不,帶是不是從用戶的輸入刪除SQL命令。這是關於[正確做事](http://stackoverflow.com/a/5468460/11683)。 – GSerg