不经意间的发现,防止SQL注入!

之前编写了一个网页,涉及到了数据库的操作,因为我是初出茅庐(换句话说就是现学现卖)并不懂太多关于web攻防的事情,所以再写代码的时候,并没有去做任何防止SQL注入等攻击的工作。可以说,网站几乎就是在裸奔嘛。

前两天,我自己大概了解了一下SQL注入。心血来潮,于是用自己的网站开始测试。根据我看到文章上边的分析,攻下我自己的网站易如反掌。

然而事与愿违,我进行了很多的尝试,却都以失败告终。我便开始思考原因。

我打开了我的源码,发现我之前为了安全起见,将所有的提交的表单都通过了AES加密!(其实本来是想在数据库泄露的时候做最后的挣扎吧。。。)

通过了AES加密之后,在放置在SQL语句中的时候,SQL注入的代码也已经“面目全非”被处理成正常的文字进行SQL操作。

这是一个无意间的发现,一个简单的加密不仅保障了当SQL数据库泄露时数据的安全,更防止了SQL注入的攻击。算不算一举两得?哈哈。