SQL注入
1.什么是SQL注入
- 看一下下面的案例场景,这是正常情况下的登陆场景:
- 而当我们使用 用户名‘:– 的时候,密码随便输入也可以登陆成功↓
- 这时候对比两条sql就能发现,其实用户通过在用户名写入的sql符号将内部sql提前结束,并且将后半句检索条件注释起来达到免密码登陆效果。
sql注入就是本来我只有我能操作数据库,本来只是让你输入内容就走,而你却输入命令,从而在我不知情下操作数据库.
2.如何防止SQL注入
通过#可以有效防止sql注入.
$方式无法防止Sql注入。
$方式一般用于传入数据库对象,例如传入表名.
一般能用#的就别用$.