关于SQL注入解决问题
来源:4-6 修改MySQL数据
weixin_慕仰6559434
2021-08-19
老师您好!请看这两张图。在写上图的查询代码中,SQL里“三年级一班”字符串您分别用了传入参数或者SQL注入的两种不同方法。那么在下图的修改代码中“大李明”字符串您没有使用传入参数的方法呢?
写回答
1回答
-
同学你好,这里只是课堂练习,为了节约同学们的时间,于是把值直接写在了SQL里。
在实际工作中,规避SQL注入,首先要判断在什么场景下才会有SQL注入:
一定是SQL中的值来自用户的输入,这个值是动态的,才会存在SQL注入。下面那张 图里面的SQL参数是我们程序员自己写的,理论上不存在SQL注入的问题,除非是程序员特意为之。
为了保险起见,无论是否存在SQL注入的风险,建议同学还是使用图一中的方式。
032021-08-20
相似问题
只打印了三位同学的信息
回答 2
mac上面咋启动 mariadb呀老师
回答 1
关于教学问题(mac和win10的问题)
回答 1
EXISTS与IN
回答 1
create_table()后报错
回答 1