08-02 SQL 注入:把恶意语句塞进查询

08-02 SQL注入 是经典 Web 攻击:攻击者把本该是普通输入的内容,变成数据库命令的一部分。


一、它解决什么

它解决的是为什么输入绝不能直接拼进 SQL。数据库会把拼好的字符串当命令执行。

二、一个比喻

像顾客在点菜单上写“顺便打开保险柜”。如果服务员不检查,厨房真的照做就出事。

三、放到系统里看

防护方式包括参数化查询、ORM、输入校验、最小权限、错误信息不要暴露 SQL 细节。

四、常见坑 / 学习抓手

常见坑是只在前端校验。前端校验能提升体验,但安全必须以后端为准。

一句话总结

SQL 注入的根源是把用户输入当成可信命令。


关联笔记