为什么参数化查询可以防止SQL注入

江小悠 18 0

原理:使用参数化查询数据库服务器不会把参数的内容当作sql指令的一部分来执行,是在数据库完成sql指令的编译后才套用参数运行。
简单的说:参数化能防注入的原因在于语句是语句,参数是参数,参数的值并不是语句的一部分,数据库只按语句的语义跑。

发表评论 取消回复
表情 图片 链接 代码

分享