参考答案

就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗数据库服务器执行恶意的SQL命令,从而达到和服务器
进行直接的交互


预防方案

  • i)后台进行输入验证,对敏感字符过滤。
  • ii)使用参数化查询,能避免拼接SQL,就不要拼接SQL语句。