简单防sql注入攻击数据库处理代码示例
sql注入,就是在传入的参数中设置sql陷阱,从而引发恶意的数据库操作,来攻击数据库。
对输入参数进行验证,防止输入可能导致数据库操作的关键字和符号,是防止sql注入的一种方式。
//防止SQL注入参数验证
function checkSql(value)
{
var reg= /select|update|delete|insert|alter|drop|exec|count|’|"|=|;|>|<|%/i;
if ( reg.test(value) )
{
alert("不要在参数中输入特殊字符和SQL关键字!");
return false;
}
这只是简单验证方法示例,只在前台验证是不够的,参数传入后台,也要进行验证。才能防止越过客户端直接发起请求的攻击。后台的验证方式也跟这大同小异。
这是一篇关于:SQL注入攻击与防御的博客,讲得不错:http://netsecurity.51cto.com/art/201108/287651.htm