什么是sql注入，怎么防止注入？

sql注入其实就是在这些不安全控件内输入sql或其他数据库的一些语句，从而达到欺骗服务器执行恶意到吗影响到数据库的数据。防止sql注入，可以在接受不安全空间的内容时过滤掉接受字符串内的“'”，那么他不再是一条sql语句，而是一个类似sql语句的zifuc，执行后也不会对数据库有破坏。

如：

username = request("username") //获取用户名 这里是通过URL传值获取的。

password = request("password") //获取密码 也是通过URL传值获取的。

sql="select * from userlist where username = '" &username &"' and password = '" &password &"'"--------如果某个人知道某个用户名是admin,常常有人网站的管理员用户名就是admin,这是密码可以选用'or 1 or ',

那么sql="select * from userlist where username = 'admin' and password = '' or 1 or ''"，显然1是恒真的，那么验证密码就通过了。

防止的方式比较多，比如可以限制username,password中出现"'"这些字符，一般网站都是只允许数字，字符，下划线的组合，这可以通过javascript验证。也可以采取用存储过程代替sql拼接，等等。

根据本人实际经验总结，非照搬教科书。一种就是在服务器上安装安全软件，这种安全软件能够自动识别注入攻击，并做出响应策略。再就是你的所有request都要进行程序过滤，把包含sql的一些特殊字符都过滤掉。第三就是数据库sql语句可以采用一些预编译的框架，如Mybatis，也能防止sql注入。

---