现今网站上的数据库大多使用SQL Server数据库,对数据库进入访问时一般需要输入账户和密码进行登录,但是SQL存在的注入漏洞可以使任意账户顺利登录,文章探讨了常见的SQL注入万能密码能够成功登录的原因,并提出了使用参数化查询解决这种问题的方法。参数化查询首先编译SQL语句,仅将参数进行编译,其后紧随的恒为真的条件语句将被截取掉,因此实现对注入漏洞的防范。

• 单位
  许昌学院