SQL语句漏洞也就是SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。

有效防范手段：对于SQL注入问题的一般处理方法是账户最小权限原则。以下几种方法推荐使用：

• 对用户输入信息进行必要检查；
• 对一些特殊字符进行转换或者过滤；
• 使用强数据类型；
• 限制用户输入的长度；

需要注意：这些检查要放在server运行，client提交的任何东西都是不可信的。使用存储过程，如果一定要使用SQL语句，那么请用标准的方式组建SQL语句。比如可以利用parameters对象，避免用字符串直接拼SQL命令。当SQL运行出错时，不要把数据库返回的错误信息全部显示给用户，错误信息经常会透露一些数据库设计的细节。

信息安全工程师试题：

SQL语言中，删除一个表的命令是( )。

A．DELETE

B．DROP

C．CLEAR

D．REMOVE

参考答案：B