sql注入的问题,对文本型号的是否只需将单引号替换为双引号?对sql注入有深入了解的进来
asp页面防止sql注入,如果在页面里用拼接sql语句的方式查询数据库:
一般对传出的数字型的参数,只要判断参数为数字就可以很好的防止sql注入了;
但对于传入的字符型的参数,在拼接到sql语句的时候,我的理解是这样的:只需要将参数的单引号替换成双引号就可以了,无需替换其他的字符。因为如果是字符型的,想注入的话必须要输入单引号来拼凑成可以执行的sql语句。
我对sql注入研究不深,不知道对字符型的仅仅替换单引号是不是完全可以防止注入,希望对sql注入有深入研究的兄弟说说你的看法,如果有否定意见,最好能举例说明。不胜感激