什麽是SQL註入，如何防止SQL註入？

所謂SQL註入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。具體來說，它是利用現有應用程序，將（惡意）的SQL命令註入到後臺數據庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到壹個存在安全漏洞的網站上的數據庫，而不是按照設計者意圖去執行SQL語句。比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL註入式攻擊．\x0d\防護\x0d\歸納壹下，主要有以下幾點：\x0d\1.永遠不要信任用戶的輸入。對用戶的輸入進行校驗，可以通過正則表達式，或限制長度；對單引號和\x0d\雙"-"進行轉換等。\x0d\2.永遠不要使用動態拼裝sql，可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。\x0d\3.永遠不要使用管理員權限的數據庫連接，為每個應用使用單獨的權限有限的數據庫連接。\x0d\4.不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息。\x0d\5.應用的異常信息應該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進行包裝\x0d\6.sql註入的檢測方法壹般采取輔助軟件或網站平臺來檢測，軟件壹般采用sql註入檢測工具jsky，網站平臺就有億思網站安全平臺檢測工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防禦SQL註入，XSS攻擊等。