防不胜防
可以肯定的说,过滤不是办法,而且效率很低
(过滤的目的主要是提供反馈信息,必须前后台都要做)
但是,有很多办法可以绕过“致命的单引号”
能做的事情按重要性大致如下:
1。数据库访问用预定义会话 PreparedStatement 从根本上防止SQL截断
2。后台过滤(为输入的信息提供反馈信息,只要验证数据格式/长度正确就可以了,不必子自作主张的去过滤/转义各种特殊符号)
3。前台过滤(这只是一个幌子,谁也不能指望前台过滤能防止什么,不过可以减少服务器压力)
4。敏感信息提交(比如帐号密码)设置验证码(因为除了注入,还有穷举)
5。数据库安全设置(每种数据库的弱点不太一样)
防止Sql注入
最新推荐文章于 2024-04-25 14:35:04 发布