什么是sql注入,怎么防止注入

sql注入攻击，就是利用程序员开发时候 *** 作数据库的低级错误进行攻击。

主要手段就是利用拼接字符串来实现一些 *** 作。

工具呢，也有一些，你搜索一下就能找到。

不过这种攻击明显已经过时了，尤其是有了linq以后，正式退出了历史舞台。

一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了

网站挂马是每个网站最头痛的问题，解决办法：1在程序中很容易找到挂马的代码，直接删除，或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的方法还是找专业做安全的来帮你解决掉

这个叫SQL注入。

比如你判断用户的sql语句是这样

"select count() from user where username='" + username + "' and password='" + password + "'";

你的用户名和密码，是通过username和password这两个变量获得的。

如果你给这两个变量传的是正常的值，比如 username=abc, password=xxx

这样，提交到数据库中的sql语句就是这样

"select count() from user where username='abc' and password='xxx';

但是如果你给username这个变量输入成你上面那个值 1' or 1=1--

相应的sql语句就变成了这样

"select count() from user where username='1' or 1=1 --' and password='xxx';

--这个符号在sql语句里代表注释，所以实际的sql 语句就变成了

"select count() from user where username='1' or 1=1

你看看后面的条件，1=1 所以你的where语句就没用了，不管他输入什么，都可以通过判断了。

只要对用户提交的单引号 转义成这种形式 \' 就可以解决这个问题，我想应该说的比较明白了吧，如果不明白的话再叫我

以上就是关于什么是sql注入,怎么防止注入全部的内容，包括:什么是sql注入,怎么防止注入、我的网站数据库被注入了（挂马）了，如何解决急、我编的QQ被老师轻易破解，什么叫数据库注入啊等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！