Web 以与SQL注入类似的方式，是否可以利用文本输入字段？_Web_Sql Injection_Exploit_Web Testing

Web 以与SQL注入类似的方式，是否可以利用文本输入字段？

web

Web 以与SQL注入类似的方式，是否可以利用文本输入字段？,web,sql-injection,exploit,web-testing,Web,Sql Injection,Exploit,Web Testing,例如，在不阻止转义字符处理的网站上的评论部分，转义字符后跟代码可能会“渗透”后端代码。大型网站如何防止这种情况发生？这是绝对不可能的吗这不是不可能的大网站和小网站以完全相同的方式阻止SQL注入：使用查询参数。这适用于文本字段以及较短的字符串、日期、数字等这里是PHP中的一个假设示例，但其他任何编程语言都有类似的示例 $text = $_POST['textfield']; $stmt = $pdo->prepare("INSERT INTO mytable (textcol) V

例如，在不阻止转义字符处理的网站上的评论部分，转义字符后跟代码可能会“渗透”后端代码。大型网站如何防止这种情况发生？这是绝对不可能的吗

这不是不可能的

大网站和小网站以完全相同的方式阻止SQL注入：

使用查询参数。

这适用于文本字段以及较短的字符串、日期、数字等

这里是PHP中的一个假设示例，但其他任何编程语言都有类似的示例

$text = $_POST['textfield'];
$stmt = $pdo->prepare("INSERT INTO mytable (textcol) VALUES (?)");
$stmt->execute( [ $text ] );

通过将内容与SQL查询分开，直到

execute（）

，这避免了SQL注入的风险。

谢谢，这是一个很好的见解。