清除SQL注入

时间:2011-11-10 21:56:07

标签: sql code-injection

如果我确保在查询中只使用字母数字字符,那么我应该没有任何SQL注入,对吗?

3 个答案:

答案 0 :(得分:6)

SQL Injection Prevention CheatSheet

子弹点:

  • 防御选项1:准备好的语句(参数化查询)
    • ......首先应该教会所有开发人员如何编写数据库查询。
  • 防御选项2:存储过程
    • ......安全实施。
  • 防御选项3:转义所有用户提供的输入
      与使用参数化查询相比,
    • ...脆弱。

答案 1 :(得分:5)

编写仅包含字母数字字符的有用查询非常困难。使用参数化查询,不要查找非快捷方式快捷方式。

答案 2 :(得分:0)

从技术上讲,这可能是正确的,因为它会阻止使用 - 或类似的诡计。如今,大多数平台都有更强大的方法来正确地转移输入并使其不会以无意的方式影响数据库。

相关问题
最新问题