sql查询防注入需要过滤哪些字符?

KPBer 2016-03-24 10:27:53 
select * from [test] where aaa='变量'

比如这种格式的sql语句,我想了半天这个变量在传入的时候似乎是只需要过滤单引号就好了?好像不需要过滤分号那些的吧?
...全文
2199 6 打赏 收藏 转发到动态 举报
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
薛定谔的DBA 2016-03-24
  • 打赏
  • 举报
 回复
可以只过滤单引号
dengdengwang 2016-03-24
  • 打赏
  • 举报
 回复
就你发的说 就转义引号就成
中国风 2016-03-24
  • 打赏
  • 举报
 回复
SQL注入专题--整理帖 http://bbs.csdn.net/topics/290032853
飞行石 2016-03-24
  • 打赏
  • 举报
 回复
用参数是最好的。 select * from where aaa=@value
t101lian 2016-03-24
  • 打赏
  • 举报
 回复
aaa中一定不会有单引号吗?
KPBer 2016-03-24
  • 打赏
  • 举报
 回复
引用 2 楼 dengdengwang 的回复:
就你发的说 就转义引号就成
是不是只要是查询字符串,都只过滤引号就好了? 语句是套的话双引号就把双引号全替换成两个双引号;语句是套的话单引号就把单引号全替换成单个双引号,就OK了,其他字符没注入的可能了是吧?
小榕sql注入工具
SQL注入是一种常见的网络安全威胁,它利用了Web应用程序未能充分过滤或验证用户输入数据的漏洞。"小榕SQL注入工具",如WED.EXE和wis.exe,是针对这种攻击方式的工具,主要用于测试和探测网站的安全性。在这个场景中...
Linux下注入攻击,应该过滤哪些字符
单引号(')和双引号("):用于表示字符串,如果字符串中包含注入代码,则可以通过注入攻击进行执行。 反斜杠(\):用于转义字符,如果转义字符被用于注入攻击,则可以执行恶意代码。 分号(;):用于分隔多个命令...
止sql注入应该过滤哪些东西?
比较弱的规则里,需要过滤的敏感符号有 % & @比较强的规则里,会把sql 的关键字都过滤掉,比如 select update delete declare 等不过后一个强规则会让用户发表的部分内容丢失,需要看实际情况决定
C#SQL注入过滤危险字符信息
不过是java开发还是C#开发或者PHP的开发中,都需要关注SQL注入的安全性问题,为了保证客户端提交过来的数据不会产生SQL注入的风险,我们需要对接收的数据进行危险字符过滤范SQL注入的危险,以下是C#止SQL注入*...
止SQL注入-字符过滤
止SQL注入-字符过滤法 例如 SELECT * FROM user_table WHERE username= ‘’ or 1 = 1 – —and password=’’ 危害 通过SQL语句,实现无帐号登录,甚至篡改数据库。 方案一:通常预编译处理。setParem sql...
MS-SQL Server

34,873

社区成员

254,639

社区内容

发帖
与我相关
我的任务
社区描述
MS-SQL Server相关内容讨论专区
社区管理员
  • 基础类社区
  • 二月十六
  • 卖水果的net
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章