防止SQL注入的几种方式

1、什么是SQL注入

简而言之，就是客户端向服务端发送请求时，将SQL指令插入到FORM表单或者URL中，达到欺骗服务器的目的，最终这些注入进去的SQL指令就会被服务器误认为是正常的SQL指令而执行，因此服务端的信息就存在被破坏或是泄露的危险。


2、SQL注入的防护

了解了SQL注入，就需要有针对性的进行预防，简单来说，可以考虑一下几种方式；


1）、永远不要信任客户端提交的数据，一定要对客户端提交的数据进行校验，校验可以考虑数据类型，字符长度或者正则表达式等方式。

2）、对客户端提交的数据进行转义，例如将" ' "转义为" \' "。

3）、采用预编译绑定变量的SQL语句而不是直接拼接SQL语句。

4）、避免在生产环境中，直接输出错误信息，因为这些错误信息有可能被攻击者利用。

5）、严格执行数据库账号权限管理。

6）、对用户敏感信息特别是密码做严格加密处理。