就是sql参数化查询为什么能够防止sql注入?网上说的是编译时不会把值放进去而是编译时是参数化的,等编译后再把值放进去,这样为什么就会防止注入?
------解决思路----------------------
注入的实质就是追加命令,正常的命令是程序中的“常量”,能动手脚的只能是可输入的用户、密码这些可输入的“变量”。
拼接方式是常量、变量拼在一起编译,才可以在正常的命令后追加后门命令。
参数化的方式仅常量参与编译,就无法追加后门命令。
详细解决方案
sql参数化查询为啥能够防止sql注入
热度:58 发布时间:2016-04-24 09:55:21.0
就是sql参数化查询为什么能够防止sql注入?网上说的是编译时不会把值放进去而是编译时是参数化的,等编译后再把值放进去,这样为什么就会防止注入?
------解决思路----------------------
注入的实质就是追加命令,正常的命令是程序中的“常量”,能动手脚的只能是可输入的用户、密码这些可输入的“变量”。
拼接方式是常量、变量拼在一起编译,才可以在正常的命令后追加后门命令。
参数化的方式仅常量参与编译,就无法追加后门命令。
相关解决方案