防止sql注入的方法有哪些

根据本人实际经验总结，非照搬教科书。一种就是在服务器上安装安全软件，这种安全软件能够自动识别注入攻击，并做出响应策略。再就是你的所有request都要进行程序过滤，把包含sql的一些特殊字符都过滤掉。第三就是数据库sql语句可以采用一些预编译的框架，如Mybatis，也能防止sql注入。

1查看和修改等的权限分离2过滤所有用户输入
3把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令
4用存储过程来执行所有的查询
5完善用户输入的的长度和类型等验证
6检查用户输入的合法性
7将用户登录名称、密码等数据加密保存

sql注入就是，通过语句的连接做一些不是你想要的 *** 作举个例子你就懂了例如你要查询id=1的记录,直接连接就是这样"select from tableName where id=1"别人可以写成"select from tableName where id=1;delete from tableName" 这样就把你的表数据全部删除了就是加个;继续写脚本,当然,这只是个例子还能做其他 *** 作，比如获取你数据库的用户名,密码什么的,那就惨了,,传参的方式可以防止注入"select from tableName where id=@id" 然后给@id赋值,就ok啦

---