62,046
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
smthgdin_020 2014-12-06
- 打赏
- 举报
要防止sql注入就不要使用拼接。改用参数化查询,或者使用像linq这类的技术。
abc12346579 2014-12-05
- 打赏
- 举报
如果拼接sql的话 还是可以sql注入的 假如替换了东西 万一被替换的是关键部分怎么办 参数化 如果有的常量值没有输入 那参数就没有值 就会抱错了
threenewbee 2014-12-05
- 打赏
- 举报
拼接sql就不可能避免sql注入,要避免sql注入就使用参数。
threenewbee 2014-12-05
- 打赏
- 举报
拼接sql就不可能避免sql注入,要避免sql注入就使用参数。
以专业开发人员为伍 2014-12-05
- 打赏
- 举报
在设计“查询”界面时,会让用户输入各种数值常量值。例如“姓名、地址、备注、商品编码、数量、开始日期、结束日期、省份、性别、系统最低版本号、系统最高版本号”等等,这些都是常量,而不是让用户输入什么sql。
你的程序才应该生成sql语句。这时候,你应该验证用户输入的类型正确,例如把用户输入的日期转换为 DateTime 类型的数据,把用户(通过下拉列表)选择的性别转成 bool 型数据,把数量转成 int 型数据,并且按照 t-sql 的语法规范(假如你使用 sql server 的话。其它关系数据库也类似)应该将字符串常量中的单引号转换为两个单引号,做完了这一切,才应该拼接 sql 语句!
以专业开发人员为伍 2014-12-05
- 打赏
- 举报
你要是让人家输入sql,那就相当于超市敞开大门让顾客把东西搬回家,再来讨论“如何防止盗窃”就没有意义了。
以专业开发人员为伍 2014-12-05
- 打赏
- 举报
你的“任意输入条件”是什么意思?
如果说随便输入sql,那么这其实根本不需要注入,你都随便让人家写代码了,还要想什么“注入”方式干什么?直接干就行了。
