sql注入的有关问题
日期:2014-05-17 浏览次数:20968 次
sql注入的问题
1. ADD.NEW方法是否比INSERT INTO安全?
ADD.NEW是每行输入进数据库,那么就算黑客在某字段里加进特殊字符,也一起进数据库了。可是ADD.NEW不也是最后转成INSERT INTO的吗?
2. 如过滤单引号的方式,比如
过滤为双引号,那么假设正规的用户发表的文章里有单引号也有双引号,就都成双引号,在取出数据又要将双引号转换为单引号,就连本来是双引号的都转成单引号了。
有什么好方法吗?
------解决方案--------------------
我确定Addnew可以直接加,不用将 '转意.
如果你是sql server数据库, I am 'CSDN '. I say: "hello ". Insert的时候只要将 '转成 ' '(注意:不是双引号,是两个单引号!!),那么存到数据库里就是单引号,取出来的时候不用再转回来的。
1. ADD.NEW方法是否比INSERT INTO安全?
ADD.NEW是每行输入进数据库,那么就算黑客在某字段里加进特殊字符,也一起进数据库了。可是ADD.NEW不也是最后转成INSERT INTO的吗?
2. 如过滤单引号的方式,比如
过滤为双引号,那么假设正规的用户发表的文章里有单引号也有双引号,就都成双引号,在取出数据又要将双引号转换为单引号,就连本来是双引号的都转成单引号了。
有什么好方法吗?
------解决方案--------------------
我确定Addnew可以直接加,不用将 '转意.
如果你是sql server数据库, I am 'CSDN '. I say: "hello ". Insert的时候只要将 '转成 ' '(注意:不是双引号,是两个单引号!!),那么存到数据库里就是单引号,取出来的时候不用再转回来的。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
