SQL 注入,就是「给 SQL 语句插入东西」的意思。没有特殊说明的话,一般就是插入可能导致问题的内容。
早先的网站编写者没有留意到 SQL 的安全问题,会写出这种程序,浏览器端通过 URL 的 parameter 传递查询参数,然后下一个页面显示查询结果。
问题就可能产生了,如果用户添加一个在 URL 中加入一个 or 1=1 的条件,就能带出相关表的所有内容!
避免 SQL 注入漏洞攻击一些做法。在 Java JDBC 编程中,就强调不要拼接 SQL,而是要使用 Statement 的 set 方法来设置变量值。