sql注入是web安全中最常见，也是平常中危害最大的漏洞。

最近在学习代码审计，拿自己审核的一段代码做个笔记。

1、sql语句拼接可能引起sql注入

很多偷懒的程序员对于没有过滤的参数，直接将其拼接到sql语句中，可能导致命令执行。

如：$sql = "select count(*) as qty from t_user where f_uid='"+$userAccount+"' and f_password='"+$password+"'";

造成sql注入时的sql语句就变成了select count(*) as qty from t_user where f_uid='admin'--'and f_password=***;

2、强制转换也不能全部阻挡住sql注入

有一部分程序员会有一定的安全意识，对变量会进行强制转换来进行过滤。

如：$sql = sprintf("select count(*) as qty from t_user where f_uid='%d' and f_password='%s'",$userAccount,$password);

但是，这种过滤是不能挡住sql注入的，主要是因为userAccount会被强制转换成整型也就是％d，但是password所传过来的参数并不会变更，

因为password所在的位置为字符串。

总结：预编译是所有sql注入的终结防御，荆轲刺秦王。