保护字符串数据值，方法很简单

替换单引号 ' 

很多人都能够注意到保护字符串数据值，但对整型数据都不在意，比如常见的sql语句

a=123

select  *  from table  where id=a

如果 a字符串为“ 123 or 1 = 1”

则sql语句将变成

select * from table where id=123 or 1=1

这样就会把该表中的所有信息读出，首先不安全，将数据表中的所有信息都读出来了，其次增加了服务器的负担。

防范这类攻击也有一个简单的方法，使用单引号将数据值引用起来，比如

select * from table where id='123 or 1=1'  

如果id字段为整型，MySQL自动将字符串转换为数字并剥离字符串包含的附加的非数字字符，而Mssql则直接报错，不管是哪种数据库，注入者都不要想通过这种方式注入了。

发表于 @ 2008年04月18日　21:07:00 | 评论( loading... ) | 编辑| 举报| 收藏

旧一篇:php打造完美柱状图 | 新一篇:网页乱码解决方法