資料庫

什麼是 SQL injection（SQLi）——能用輸入改寫資料庫命令的漏洞

SQLi 是一種讓輸入被當作「命令的一部分」而非「資料」來解釋、從而改變資料庫查詢含義的漏洞，直接導致資料被讀取、被竄改、被全部刪除。真正有效的防禦是「停止字串串接，用佔位符（prepared statement）傳值」。