所謂SQL注入，就是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令，比如先前的很多影視網(wǎng)站泄露VIP會(huì)員密碼大多就是通過(guò)WEB表單遞交查詢(xún)字符暴出的，這類(lèi)表單特別容易受到SQL注入式攻擊．下面給大家分享教你如何防止SQL注入攻擊的，希望對(duì)大家有幫助。

防SQL 注入是一個(gè)系統(tǒng)工程,在項(xiàng)目開(kāi)發(fā)中就要系統(tǒng)的考慮SQL 注入的問(wèn)題。一般做到以下4點(diǎn)，能比較好的控制SQL 注入：

1. 嚴(yán)格驗(yàn)證用戶(hù)的一切輸入，包括URL參數(shù)。
2. 將用戶(hù)登錄名稱(chēng)、密碼等數(shù)據(jù)加密保存
3. 不要用拼接字符串的方式來(lái)生成SQL語(yǔ)句，而是用SQL Parameters 傳參數(shù)或者用存儲(chǔ)過(guò)程來(lái)查詢(xún)
4. 嚴(yán)格驗(yàn)證上傳文件的后綴，exe、aspx、asp等可執(zhí)行程序禁止上傳。

這里介紹一個(gè)簡(jiǎn)單通用的方法，用來(lái)驗(yàn)證字符串中是否有敏感字符，參數(shù)可以是一個(gè)字符串，也可以是一個(gè)字符串集合，敏感字符可以在Lawlesses數(shù)組中定義：