当我想知道我应该如何构建查询时,我只读了this question。
到目前为止,我刚刚使用StringBuilder构建了一个String,因为在这个应用程序中只使用了select,update,insert和delete。现在我也想知道正确的逃避,当我问自己时,为什么逃避不仅仅是逃避这些迹象'到\'。
逃避后会有更复杂的行为,还是会完成?
感谢您的投入!
答案 0 :(得分:2)
字符串构建SQL是一个坏主意,因为它会使您容易受到SQL注入攻击。
如果您可以将查询存入存储过程并参数化输入值。
有关SQL注入攻击以及如何防止它们的信息,请参阅“打开Web应用程序安全项目”站点:
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet