[讨论]关于sqlserver2000 sql注入过滤的问题???
对于sql注入,当进行关键字过滤时,往往需要对用户请求数据过滤很多关键字
比如exec cast and or drop ......
假定要过滤30个关键字,那么过滤程序仅对用户的一个输入参数就要遍历30次,感觉影响效率
我有一个想法不知道可行否, 既然任何一个sql语句都得含有空格来间断and or 等,
那就干脆替换掉用户输入的空格以及长度判断(特别是在正常情况下不可能有空格输入和长度比较固定的时候),
这样处理效率就更高了.
而在比如用户留言等地方(可能出现空格的地方)进行所有关键字过滤
大家有何看法? 请指教