终于有一天，sql注入漏洞不是梦！

公司项目&＃xff0c;我使用的sql拼接&＃xff0c;不是&＃xff1f;预编译的sql&＃xff0c;就会产生sql注入漏洞&＃xff01;

由于我司最近在进行安全防护&＃xff0c;因此我的垃圾项目就被检测出这种问题了&＃xff0c;

没有错&＃xff0c;sql注入高危漏洞&＃xff0c;&＃xff01;

乍一听&＃xff0c;之前学习的知识&＃xff1a;如何防止sql注入&＃xff0c;终于学有所用了&＃xff01;

什么是sql注入

如何防止sql注入&＃xff1f;

严格使用SQL语句预编译处理&＃xff0c;禁止使用SQL拼接

我的sql拼接代码示例

由于查询需要多条件&＃xff0c;因此我将查询条件全部都拼接了&＃xff0c;而且是直接拼接的那种&＃xff0c;这就是一种sql的拼接&＃xff0c;没有使用预编译的sql&＃xff01;&＃xff01;这种就会使得入参被随意串改&＃xff0c;会损坏数据库的&＃xff0c;但是如果使用占位符的话&＃xff0c;这个sql就是预编译的&＃xff0c;就不会产生sql注入

因此会产生sql注入的高危漏洞

为什么预编译的sql可以防止sql注入

解决的方案自然是&＃xff0c;用户可以随意拼接sql&＃xff0c;但是他拼接的sql会不会被mysql执行&＃xff0c;如果是预编译的sql即使进行了sql拼接&＃xff0c;mysql也不会把拼接的部分作为命令执行&＃xff0c;而是将其作为一个参数。但是如果不是预编译的sql&＃xff0c;那么mysql自然会执行了。

好吧&＃xff0c;看到这我就要去处理我所有的sql注入漏洞了&＃xff0c;处理方法&＃xff1a;mysql.escape(sql拼接的参数&＃xff09;或者使用预编译sql&＃xff01;

经过我一天的深思熟虑&＃xff0c;我打算要把项目里所有的sql翻一个底朝天&＃xff0c;都给他改过来&＃xff0c;让他由sql拼接&＃xff0c;彻底变成预编译sql