62,046
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
dotnba 2006-10-26
- 打赏
- 举报
使用参数方式组成命令,则不用替换任何字符。
那种空谈“非法字符”,没什么好坏标准,可能永远也不够,可能完全多余,如果不知道你到底要防范什么注入,则很难说够不够。
------------------------------------
不错
那种空谈“非法字符”,没什么好坏标准,可能永远也不够,可能完全多余,如果不知道你到底要防范什么注入,则很难说够不够。
------------------------------------
不错
以专业开发人员为伍 2006-10-26
- 打赏
- 举报
例如上传的文本中不能有html --> 例如上传网页内容的文本中不能有html
以专业开发人员为伍 2006-10-26
- 打赏
- 举报
防SQL注入其它SQL命令(而不是字符值),假设你的SQL中的字符值用但引号作为首尾标志,仅仅替换单引号足够了。使用参数方式组成命令,则不用替换任何字符。
如果你担心有其它的注入,要根据具体的注入目的来防范。例如上传的文本中不能有html标签和javascript命令,等等。
那种空谈“非法字符”,没什么好坏标准,可能永远也不够,可能完全多余,如果不知道你到底要防范什么注入,则很难说够不够。
如果你担心有其它的注入,要根据具体的注入目的来防范。例如上传的文本中不能有html标签和javascript命令,等等。
那种空谈“非法字符”,没什么好坏标准,可能永远也不够,可能完全多余,如果不知道你到底要防范什么注入,则很难说够不够。
Eddie005 2006-10-26
- 打赏
- 举报
够了
myhuser 2006-10-26
- 打赏
- 举报
http://www.jdskycn.com/blog/article.asp?id=85
