08-02 SQL 注入:把恶意语句塞进查询
08-02 SQL注入 是经典 Web 攻击:攻击者把本该是普通输入的内容,变成数据库命令的一部分。
一、它解决什么
它解决的是为什么输入绝不能直接拼进 SQL。数据库会把拼好的字符串当命令执行。
二、一个比喻
像顾客在点菜单上写“顺便打开保险柜”。如果服务员不检查,厨房真的照做就出事。
三、放到系统里看
防护方式包括参数化查询、ORM、输入校验、最小权限、错误信息不要暴露 SQL 细节。
四、常见坑 / 学习抓手
常见坑是只在前端校验。前端校验能提升体验,但安全必须以后端为准。
一句话总结
SQL 注入的根源是把用户输入当成可信命令。