防范SQL注入對保護(hù)網(wǎng)站安全意義重大。其重點(diǎn)在于對用戶提交的信息進(jìn)行安全檢測, 對于網(wǎng)站開發(fā)者來說, 永遠(yuǎn)不要信任用戶輸入的內(nèi)容, 不要對用戶提交的信息全盤接收, 必須對用戶輸入信息進(jìn)行過濾, 判斷和檢測。利用正則表達(dá)式進(jìn)行控制, 并限制用戶輸入數(shù)據(jù)的長度, 尤其對單引號雙引號等號等符號檢測轉(zhuǎn)換。不要使用動態(tài)拼裝的SQL語句, 可以使用參數(shù)化的SQL或者直接使用存儲過程進(jìn)行數(shù)據(jù)的查詢和存取操作。出于安全考慮, 不要使用具有管理員權(quán)限的數(shù)據(jù)庫連接, 應(yīng)該為每個Web應(yīng)用程序設(shè)置有限權(quán)限的數(shù)據(jù)庫連接。
本文地址:http://islandpacificappraisals.com//article/8157.html