SQL 注入的常规防范

发表于 作者 评心静气
  1. 严格限制应用的数据库操作权限,只给其提供满足工作的最低权限
  2. 对输入的数据转换为期望的格式或者类型,如:regexp、strconv等验证与转换
  3. 对进入数据库的特殊字符进行转义或编码
  4. 对SQL语句,使用数据库提供的参数化查询接口,不要直接拼SQL
  5. 使用一些专业的SQL注入检测工具进行检测:sqlmap、SQLninija等
  6. 关闭SQL错误信息的输出,防止暴露敏感信息