27,579
社区成员
发帖
与我相关
我的任务
分享[讨论]关于sqlserver2000 sql注入过滤的问题???
对于sql注入,当进行关键字过滤时,往往需要对用户请求数据过滤很多关键字
比如exec cast and or drop ......
假定要过滤30个关键字,那么过滤程序仅对用户的一个输入参数就要遍历30次,感觉影响效率
我有一个想法不知道可行否, 既然任何一个sql语句都得含有空格来间断and or 等,
那就干脆替换掉用户输入的空格以及长度判断(特别是在正常情况下不可能有空格输入和长度比较固定的时候),
这样处理效率就更高了.
而在比如用户留言等地方(可能出现空格的地方)进行所有关键字过滤
大家有何看法? 请指教
比如exec cast and or drop ......
假定要过滤30个关键字,那么过滤程序仅对用户的一个输入参数就要遍历30次,感觉影响效率
我有一个想法不知道可行否, 既然任何一个sql语句都得含有空格来间断and or 等,
那就干脆替换掉用户输入的空格以及长度判断(特别是在正常情况下不可能有空格输入和长度比较固定的时候),
这样处理效率就更高了.
而在比如用户留言等地方(可能出现空格的地方)进行所有关键字过滤
大家有何看法? 请指教
...全文
请发表友善的回复…
发表回复
claro 2009-07-14
- 打赏
- 举报
限制长度是个好方法。
linguojin11 2009-07-14
- 打赏
- 举报
在老大的书中有提到过限制输入的长度...详细的可以去看下
SQL77 2009-07-14
- 打赏
- 举报
去老大博客看看
百年树人 2009-07-14
- 打赏
- 举报
在精华贴有相关的专题贴,楼主可以去查阅一下
