SQL注入之#--

用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定，防止 SQL 注入， 禁止字符串拼接 SQL 访问数据库。 反例：某系统签名大量被恶意修改，即是因为对于危险字符 # --没有进行转义，导致数据库更新时，where 后边的信息被注释掉，对全库进行更新。 例子：select count(*) from userInfo where user_name=‘admin‘#‘ and pwd=‘xxxxx‘。【‘#】为账号的话就会造成后面的条件全部失效。导致万能钥匙。 未防止SQL注入登录不能向上面查判断，要md5加密密码。 登录先验证账户是否存在去出加密的密码，加密用户的密码，两个加密的md5进行对比判断登录

SQL注入之#--

标签：判断   sele   失效   使用   转义   use   更新   字段   count