什麼叫做sql注入???
sql注入算是一些不法分子的攻擊手段,通過sql語句來實現無賬號密碼登錄及其他操作。
比如在一個需要登錄的界面:
賬號輸入成這樣的話,密碼可以隨意,那麼能很輕易的登錄進去。因爲在這條sql執行的時候,後臺的sql語句生成會出現:
SELECT * FROM table WHERE username='’or 1 = 1 -- and password='’
這種情況下 根本都不需要輸入密碼,在沒有密碼的時候,走OR 1=1 ,1爲真那麼可以輕易不需要密碼的進入。
要想防止sql注入這種 攻擊,在本人上篇博客裏有利用PDO的預處理進行防sql注入;