SQL注入,就是在用户输入的时候输入的是SQL字段,比如说 userName = "1' OR '1'='1"; passWord = "1' OR '1'='1";
那么服务器就把这些字段和真正的sql语句相结合,那么就会产生跟程序员编程不一样的路径,往往就
可以去攻击你的数据库的信息
防范
-
sql语句的筛选判断和转义
-
使用参数化查找,也就是说不要直接用一大句sql拼接,把参数使用参数化例如说
SELECT * FROM ab WHERE name=?,12
这样就不会sql拼接了。