什么是sql注入，请简单的解释一下。

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。

首先是程序员要养成防止SQL注入的习惯，所有由客户端提交或传入的数据都需要进行验证

使用最小权限原则，无论是 *** 作系统还是数据库，网站运行的帐号是其能够完成 其 *** 作的最小权限，这样可以大大降低被攻击的损失。

发布前用专业的安全评测软件扫描，一般会给出完整的安全评估报告。HP有一款非常厉害，但是是收费的，免费的只能扫描固定的IP的网站。

兄弟，这个问题在网上有的是讨论的，上百度搜索“C#如何防止注入式攻击”例子多得是

程序员的乐趣在于不断探索，别人都探索完了，你连搜都懒的搜，等着别人讲。我劝你还是改行吧

线程注入式木马

更好的隐藏方式是使木马程序不以进程和服务的方式存在，而是完全溶入系统内核。因此，在设计时，我们不应把它做成一个应用程序，而是做成一个可以注入应用程序地址空间的线程。该应用程序必须确保绝对安全，这样才能达到彻底隐藏的效果，增加查杀的难度。线程注入式木马采用动态嵌入技术将自己的代码嵌入正在运行的进程中。

Windows中每个进程都有自己的私有内存空间，其他进程不得对该私有空间进行 *** 作，但实际上，有很多方法可 *** 作私有空间。动态嵌入技术很多，如窗口 Hook、挂接API、远程线程等，远程线程技术相对简单，只要有基本的进程线程和动态链接库的知识就可以轻松实现。

远程线程技术指的是通过在一个远程进程中创建远程线程的方法进入该进程的内存地址空间。可以通过CreateRemoteThread函数在一个远程进程内创建远程线程，被创建的远程线程可以共享远程进程的地址空间，这样就可以通过该线程进入远程进程的内存地址空间，从而拥有了远程进程相当的权限，如在远程进程内部启动一个DLL木马，甚至可以随意篡改其中的数据。远程线程技术的关键在于要将线程函数执行体及其参数复制到远程进程空间中，否则远程线程会在执行时因找不到参数而报错。

没错，存储过程的确能有效解决SQL注入式攻击！

理由：因为通常的数据库访问方法，都是把访问数据表的权利赋给程序，注入式攻击者通过你的程序漏洞判断和获得更多的信息，并利用你赋给程序的访问和 *** 作权，轻者破坏本表数据，重者毁坏整个数据库！

使用存储过程则完全不同，程序中不必再有SQL语句，因此程序不必拥有访问和 *** 作数据表的权限，只把运行存储过程的权限交给程序。程序只是把参数和存储过程名告诉数据库，然后等待结果就行了，注入式攻击者要想运行存储过程，就必需猜对存储过程名，并且还要猜对参数个数、参数名和参数的顺序，同时满足这些条件太难了，即便所以条件都满足，那么攻击者也只是往数据表里存了一组合法数据而已，不会导致其它破坏。

因此，通过存储过程能从根本上解决注入式攻击。

需要注意的是，使用存储过程后，应把原来交给程序的 *** 作数据表的权限收回，否则就象为了防小偷锁了前门，却开着后门一样。

以上就是关于什么是sql注入，请简单的解释一下。全部的内容，包括:什么是sql注入，请简单的解释一下。、C#如何防止注入式攻击、什么叫线程注入我的机子没运行一个程序，杀毒软件的木马一扫光就会d出提示说试图阻止这个程序线程注入等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！