主要观点总结
文章介绍了防止SQL注入的四种方式,包括使用PreparedStatement、mybatis中#{}表达式、对请求参数的敏感词汇进行过滤以及nginx反向代理防止SQL注入的方法,并给出了详细的实现步骤和配置方法。
关键观点总结
关键观点1: 什么是SQL注入
SQL注入即web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,从而欺骗数据库服务器执行非授权的任意查询,获取相应的数据信息。
关键观点2: 防止SQL注入的四种方式
包括使用PreparedStatement预编译SQL语句、使用mybatis中的#{}表达式进行预编译处理、对请求参数的敏感词汇进行过滤以及通过nginx反向代理进行防止SQL注入的配置。
关键观点3: 具体实现步骤和配置方法
详细介绍了每种防止SQL注入方式的实现步骤和配置方法,包括代码示例和Nginx配置示例。
文章预览
来 源:blog.csdn.net/weixin_42675423/article/details/129298701 一、什么是SQL注入? 二、Java项目防止SQL注入方式 1、PreparedStatement防止SQL注入 2、mybatis中#{}防止SQL注入 3、对请求参数的敏感词汇进行过滤 4、nginx反向代理防止SQL注入 一、什么是SQL注入? SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 SQL案列 String sql = "delete from table1 where id = " + "id" ; 这个id从请求参数中获取,若参数被拼接为: ❝ 1001 or 1 = 1 ❞ 最执行语句变为: String sql = "delete from table1 where id = 1001 or 1 = 1" ; 此时,数据库的数据都会被清空掉,
………………………………