SQL注入是目前黑客常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入。改变SQL语句结构,达到扩展权限、创建高等级用户、强行修改用户资料等等操作。 那怎么判断是否被SQL注入了呢? 通过SQL注入的原理我们知道,判断SQL注入可以通过页面传入的数据, 后台不应该相信从后台传入的任何数据 特别是特殊整型参数和特殊字符参数! 防止SQL注入其实也很简单: 1.检查变量数据类型和格式 只要是固定格式的变量,在SQL语句执行前,应该严格按照固定格式检查,确保变量是我们预想的格式! 2.过滤特殊符号 对于无法确定固定格式的变量,一定要进