sql 如果是字符串只过滤单引号就够了吗?

redsunsry 2006-10-26 03:04:04
??
...全文
152 5 打赏 收藏 举报
写回复
5 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
dotnba 2006-10-26
  • 打赏
  • 举报
回复
使用参数方式组成命令,则不用替换任何字符。

那种空谈“非法字符”,没什么好坏标准,可能永远也不够,可能完全多余,如果不知道你到底要防范什么注入,则很难说够不够。
------------------------------------
不错
  • 打赏
  • 举报
回复
例如上传的文本中不能有html --> 例如上传网页内容的文本中不能有html
  • 打赏
  • 举报
回复
防SQL注入其它SQL命令(而不是字符值),假设你的SQL中的字符值用但引号作为首尾标志,仅仅替换单引号足够了。使用参数方式组成命令,则不用替换任何字符。

如果你担心有其它的注入,要根据具体的注入目的来防范。例如上传的文本中不能有html标签和javascript命令,等等。

那种空谈“非法字符”,没什么好坏标准,可能永远也不够,可能完全多余,如果不知道你到底要防范什么注入,则很难说够不够。
Eddie005 2006-10-26
  • 打赏
  • 举报
回复
够了
myhuser 2006-10-26
  • 打赏
  • 举报
回复
http://www.jdskycn.com/blog/article.asp?id=85
相关推荐
发帖
.NET社区

6.1w+

社区成员

.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
帖子事件
创建了帖子
2006-10-26 03:04
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。