- 博客(1)
- 收藏
- 关注
RSS订阅原创 防止Sql注入
<br />防不胜防 <br /><br />可以肯定的说,过滤不是办法,而且效率很低 <br />(过滤的目的主要是提供反馈信息,必须前后台都要做) <br />但是,有很多办法可以绕过“致命的单引号” <br />能做的事情按重要性大致如下: <br /><br />1。数据库访问用预定义会话 PreparedStatement 从根本上防止SQL截断 <br />2。后台过滤(为输入的信息提供反馈信息,只要验证数据格式/长度正确就可以了,不必子自作主张的去过滤/转义各种特殊符号) <br />
2011-02-20 14:16:00
268
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人