关于sql注入的一些个人心得

sql 注入就是通过用户提交的数据中加入一些特殊字符如单引号等来影响sql命令的行为

这些网上都有很多说明，只要搜一下都会有很多。

我这里要说的是大家可能会不注意的地方，大部分新手会认为sql注入只是通过地址栏里的参数来注入
好一点的会知道通过表单提交的数据来注入，很少有人会注意到通过一些隐藏的域或都不可输入的表单项来注入

其实像<select> checkbox radio <input type="hidden">这样的表单元素都是可以用来作为sql注入的数据入口
通常网上提供的sql注入检测都是通过地址栏参数来检测。
所以大家在后台接收用户提交的代码时一定要对每一个提交的数据进行验证，这样才能保证万无一失

我是江奇