简单防sql注入攻击数据库处理代码示例

简单防sql注入攻击数据库处理代码示例

sql注入，就是在传入的参数中设置sql陷阱，从而引发恶意的数据库操作，来攻击数据库。
对输入参数进行验证，防止输入可能导致数据库操作的关键字和符号，是防止sql注入的一种方式。

   

     //防止SQL注入参数验证
     function checkSql(value)
     {
        var  reg= /select|update|delete|insert|alter|drop|exec|count|’|"|=|;|>|<|%/i;
        if ( reg.test(value) )
         {
           alert("不要在参数中输入特殊字符和SQL关键字！");
              return false;
        }

这只是简单验证方法示例，只在前台验证是不够的，参数传入后台，也要进行验证。才能防止越过客户端直接发起请求的攻击。后台的验证方式也跟这大同小异。

这是一篇关于：SQL注入攻击与防御的博客，讲得不错：http://netsecurity.51cto.com/art/201108/287651.htm