注入攻击

注入攻击的本质，是把用户输入的数据当做代码执行。这里有两个关键条件，第一个是用户能够控制输入；第二个是原本程序要执行的代码，拼接了用户输入的数据。

SQL注入

防御SQL注入

• 使用预编译语句
• 使用安全的存储过程
• 检查数据类型
• 使用安全函数

XML注入

代码注入

比如后端使用eval