## 防止SQL注入解決方案： 解決SQL注入問題的關鍵是對所有可能來自用戶輸入的數據進行嚴格的檢查、對數據庫配置使用最小權限原則。通常修復使用的方案有： ### 代碼層面： 1. 對輸入進行嚴格的轉義和過濾 2. 使用參數化（Parameterized）：目前有很多ORM框架會自動使用參數化解決注入問題,但其也提供了"拼接"的方式,所以使用時需要慎重! 3. PDO預處理 (Java、PHP防范推薦方法：) 沒有進行PDO預處理的SQL，在輸入SQL語句進行執行的時候，web服務器自己拼湊SQL的時候有可能會把危險的SQL語句拼湊進去。但如果進行了PDO預處理的SQL，會讓MYSQL自己進行拼湊，就算夾帶了危險的SQL語句，也不會進行處理只會當成參數傳進去，而不是以拼接進SQL語句傳進去，從而防止了SQL注入。 PDO數據庫抽象層學習：http://www.php.cn/course/868.html ### 網絡層面： 1. 通過WAF設備啟用防SQL Inject注入策略（或類似防護系統） 2. 云端防護（360網站衛士，阿里云盾等）