sql 注入

参考答案：

就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗数据库服务器执行恶意的SQL命令,从而达到和服务器
进行直接的交互

预防方案

• i）后台进行输入验证，对敏感字符过滤。
• ii）使用参数化查询，能避免拼接SQL，就不要拼接SQL语句。

题目要点：

答题要点：

前端安全中的SQL注入是一种常见的攻击方式，它发生在用户输入的数据被直接拼接到SQL查询语句中，而没有经过适当的验证或转义的情况下。这种攻击可以导致数据库中的敏感数据被读取、修改或删除，甚至可能导致整个数据库被破坏。

预防SQL注入的策略：

1、参数化查询：使用参数化查询（Prepared Statements）来防止SQL注入。参数化查询将用户输入的数据作为参数传递给查询，而不是直接拼接到查询字符串中。

2、输入验证：在服务器端对用户输入的数据进行验证，确保其符合预期的格式和范围；验证数据类型、长度、格式等，避免接受可能被恶意利用的数据。

3、使用白名单：只允许特定的字符集或字符序列，拒绝任何不在白名单中的输入。

4、转义特殊字符：如果必须将用户输入直接拼接到查询中，使用适当的转义字符（如mysql_real_escape_string或PDO::quote）来转义特殊字符。

5、限制权限：确保数据库用户的权限最小化，只允许执行必要操作。