SQL 注入的常规防范 发表于2021年4月7日2021年4月7日 作者 评心静气 严格限制应用的数据库操作权限,只给其提供满足工作的最低权限对输入的数据转换为期望的格式或者类型,如:regexp、strconv等验证与转换对进入数据库的特殊字符进行转义或编码对SQL语句,使用数据库提供的参数化查询接口,不要直接拼SQL使用一些专业的SQL注入检测工具进行检测:sqlmap、SQLninija等关闭SQL错误信息的输出,防止暴露敏感信息