我限制我的客户输入某些字符。
现在我允许:
所有数字
所有英文字母
-
_
我不允许:
使用文本框等编程进行查询时,还存在哪些其他安全字符和/或不安全字符?
答案 0 :(得分:1)
使用任何SQL(包括MySQL)最安全的方法是使用参数化查询。这将允许您的客户输入他们想要的任何字符,并防止任何SQL注入。
你没有提到你正在使用的语言,所以这里是一个使用MySQL的.NET示例:http://dev.mysql.com/doc/connector-net/en/connector-net-tutorials-parameters.html