利用 SQL 注入方法的漏洞攻击已经引起了广泛关注，因为这些漏洞能够穿过防火墙和入侵检测系统，从而破坏您的数据层。无论是第一级还是第二级注入攻击，如果您看一下基本的代码模式，它与其他任何注入攻击问题都类似，即您在构造语句时都使用了不受信任的数据。大多数开发人员已经开始通过在后端使用参数化 SQL 查询和存储过程来减少 Web 前端的这些漏洞，但有些情况下，开发人员仍使用动态构建的 SQL，例如根据用户输入或为 C/C++ 编写的应用程序构造数据定义语言 (DDL) 语句时。

在本文中我将讨论一些新观点，其结果可能会修改 SQL 语句或注入 SQL 代码，即使代码对分隔字符进行了转义。我首先介绍一些构建分隔标识符和 SQL 字符串的最佳实践，然后我将介绍攻击者注入 SQL 代码的几种新方法，以帮助您保护您的应用程序。