在Oracle 11g数据库中用SQL字符串中的2替换单引号时屏蔽参数是否安全? (' => '')
类似的东西:
sql =“select * from user where name ='”+ input.replace(“'”,“''”)+“'”;
答案 0 :(得分:0)
我相信它!触摸木材,或者我们都拧紧了。这是我在SQL屏蔽上看到的fullest explanation。显然,它的ids等易受攻击,因为它们并未被封闭。但是,为了善良,请使用参数。不要像那样构建你的SQL。
答案 1 :(得分:0)
不知道注射但是...有人可能会使用缺少绑定变量来通过使用几乎相同的一次性语句填充共享池来减慢数据库速度,从而强制进行硬解析等。