防SQL注入的要點

所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令，比如先前的很多影視網(wǎng)站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊．下面給大家分享教你如何防止SQL注入攻擊的，希望對大家有幫助。

防SQL 注入是一個系統(tǒng)工程,在項目開發(fā)中就要系統(tǒng)的考慮SQL 注入的問題。一般做到以下4點，能比較好的控制SQL 注入：

1. 嚴(yán)格驗證用戶的一切輸入，包括URL參數(shù)。
2. 將用戶登錄名稱、密碼等數(shù)據(jù)加密保存
3. 不要用拼接字符串的方式來生成SQL語句，而是用SQL Parameters 傳參數(shù)或者用存儲過程來查詢
4. 嚴(yán)格驗證上傳文件的后綴，exe、aspx、asp等可執(zhí)行程序禁止上傳。

這里介紹一個簡單通用的方法，用來驗證字符串中是否有敏感字符，參數(shù)可以是一個字符串，也可以是一個字符串集合，敏感字符可以在Lawlesses數(shù)組中定義：