标签: javascript sql sql-injection
我有一个访问sqlite3数据库的javascript代码。我想验证我的文本字段值并防止SQL注入。那是否有“最佳算法”?
- 更新我正在开发一个Xulrunner桌面应用程序。也许我应该在xpcom组件中使用数据库,这是编译的(用C语言编写),因此用户将无法访问它..
答案 0 :(得分:8)
通常使用参数化SQL语句来避免SQL注入。
这是一篇MSDN文章,介绍了如何执行此操作。
这是另一个article,它描述了几种阻止sql注入的方法。
答案 1 :(得分:5)
SQL注入预防是在服务器端完成的,你无法在客户端做任何事情来阻止它。
答案 2 :(得分:0)
我不确定你所处的环境类型,但请注意,由于JavaScript的性质以及它经常在浏览器中执行的方式等,代码注入攻击相对容易,所以任何验证你客户方面的做法可能是任何认真对待攻击的人。并不是说你不应该验证,只是你应该知道你需要注意你跑步的地方才能知道验证是否足够。