什么是SQL注入风险?
在基于关系型数据库的Web应用开发中,常见的场景是用户在浏览器端传递包含一个参数的请求,后端使用该参数作为条件查询数据库。举个实例:
有一个根据用户ID查询用户信息的接口,后端接收前端传递的ID值,使用该值查询用户表,查询的语句如下:
select * from user where id = ?
这里对于?的期望值是合法的ID值,比如1 ,完整的SQL语句是:
select * from user where id = 1
以上SQL查询的是ID=1的用户, 但是, 如果?传入的值是 = 1 or id !=1 , 则组成后的SQL是:
select * from user where id = = 1 or id !=转载:https://blog.csdn.net/oscar999/article/details/105460120
查看评论