¿Qué es la inyección en la nube?
Tome el inicio de sesión como ejemplo. Si la declaración de inicio de sesión es String sql="select count(user.id) from sys_user user where user.user_name='?' los parámetros nombre_usuario y pwd_usre no se han cifrado
Cuando el nombre_usuario está en inglés, se informará un error de SQL, "La cadena entre comillas no termina correctamente", etc. Si la recepción detecta un error de este tipo, entonces su tabla sys_user no se puede controlar. Cuando el parámetro user_name o user_pwd es ' o 1 = 1, la sintaxis SQL escrita siempre es verdadera. un comportamiento de ataque de inyección relativamente simple, por lo que es mejor convertir los parámetros de front-end en un símbolo o cadena que no sea utilizada por la base de datos (no símbolos o palabras clave relacionados), por ejemplo, convertir símbolos en inglés a chino. Lo más popular ahora es cifrar parámetros. Cómo cifrar es una digresión. Puede leer las publicaciones relevantes usted mismo, espero que le resulte útil.