产生原因:
程序员采用拼接sql语句时出现的问题,如:采用“+”号拼接,这时用户输入,程序可能会分不清什么是数据,什么是语句,因而产生了注入。
解决方案(暂定):
参数化是防SQL注入框架级方案的重要部分,(但仅靠参数化没法很好满足开发过程中一些常见需求,如逗号分割的id列表问题、排序标记的问题等等)
1.检查变量数据类型和格式(只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式)
2.过滤特殊符号
3.绑定变量,使用预编译语句
更多详情可以参考:https://www.zhihu.com/question/22953267
原文:https://www.cnblogs.com/qudeqiang/p/9149921.html