mssql注入：尽量避免长度限制（mssql注入 长度限制）

mssql注入是一种通过在mssql输入指令获取机密信息的攻击行为。mssql注入攻击时，将用户输入的值当作sql语句的一部分，可以说它是一种web安全性漏洞。采用mssql注入攻击的人可能有想法，比如读取管理员的帐号信息或获取系统的更多数据，所以这种攻击有可能导致信息泄露和任意命令执行的威胁。mssql注入的可能性取决于当下sql语句的编写情况，如果sql语句不健壮，就会存在注入的可能性。

一般来说，防止mssql注入要根据实际情况来决定，注意主要措施有：

1. 明确用户表和字段的范围，只允许用户访问其自身允许访问的字段或设置权限。

2. 限制用户输入，对用户输入作长度限制，可以避免用户输入过长的sql语句，以防止注入攻击。

3. 合理使用语句，应当避免使用不安全的语句，尤其要注意参数的过滤，尽量避免长度限制，避免弱化sql语句的安全性，加强数据库的安全防范措施。

下面就一种mssql注入的防御方式——『防御编码技术』来作说明，它是一种面向表单页面及其他应用程序的安全防御策略，可以防止用户输入的代码恶意执行，确保应用程序不会被注入攻击。它的作用就是为应用程序实现输出过滤，防御可疑的输入。它主要就：

1.做数据输入的长度和字符限制，对每一个文本框都确定一个限制极限的长度；

2.编写程序时避免相关的“特殊字符”，并对请求字符串、cookies等进行过滤处理；

3.对上传数据设置文件类型、大小、后缀进行限制。

总而言之，mssql注入防御要注意长度限制，同时限制不安全的字符，应用编码技术来对输入进行过滤，有效防止sql注入攻击。