预告：假如你对SQL注入方面的进犯与防护技能感兴趣。那么，欢迎你参与咱们在3月16号星期五早上九点举行的，免费在线GroupBy会议。
SQL注入已是一个陈词滥调的论题，但时至今日仍是咱们作为开发人员和数据库专业人员所面对的更大安全风险之一。
每年都有数以百万计的个人用户信息被走漏，这大部分都是因为代码编写过程中SQL查询句子不谨慎形成的。其实只需正确的编写，SQL注入是彻底能够防备的。
本文我将侧重阐明人们对SQL注入常见的四个误解。安全无小事，任何人都不应对此抱有任何的梦想！
观看视频
1.”我的数据库信息并未揭露，因而这是安全的“
或许你对数据库信息的保密工作做的很到位，但这样真的就安全了吗？进犯者其实只需具有对常见数据库库名表名的了解，就彻底有或许猜出它们。例如在你的数据库中或许创立了以下的表：
Users
Inventory
Products
Sales
等…
这都是一些运用率十分高的表名，特别是一些数据库开发人员为了节省时刻，运用默许表名的状况。这些都是十分风险的操作，应从初始的开发上对这些细节注重起来。
2.”创立混杂性的表名列名，命名约好只要自己能了解“

这样做看似进犯者就无法容易的猜解出称号了，但你千万不要忽视了像sys.objects和sys.columns这样的体系表的存在！
SELECT
  t.name, c.name
FROM
  sys.objects t
  INNER JOIN sys.columns c on t.object_id = c.object_id
    on t.object_id = c.object_id
进犯者能够轻松地编写以上查询，然后获悉你的“安全”命名约好。

假如你有不常用的表名，那很好，但千万不要将它作为你仅有的防护手法。
3.“注入是开发者/dba/其他人该处理的问题”
的确SQL注入是开发人员/dba/其他人该处理的问题。但这肯定不是单方面人员的问题，安满是需求多层面的合作的，不管是开发人员/dba/其他人都需求处理问题。
防止sql注入很困难。
开发者应该验证，过滤，参数化……DBA应该参数化，过滤，约束拜访等。
应用程序和数据库中的多层安全性是有用防止SQL注入进犯的仅有办法。
4.“ *** 上的方针很多，被进犯的目标肯定不会是我”
或许你觉得你不会那么倒运，或许你的事务数据不值得进犯者盗取。但你别忘了大多数的SQL注入进犯，都能够运用像sqlmap这样的彻底自动化的东西。他们或许对你的事务并不关怀，但这并不阻碍他们经过自动化的 *** 盗取你的用户数据。
记住！不管你的事务规划巨细，都无法防止来自自动化SQL注入东西的要挟。