关于sql注入有关问题
日期:2014-05-18 浏览次数:20332 次
关于sql注入问题
发现数字整形,也可以使用单引号操作,例如:select * from tab where id= '5 '
其中,id是整形,如果是这样,日后不管什么类型,也加单引号,这样是不是只要过滤了所有的单引号,就可以防止sql注入呢?
------解决方案--------------------
应该是这样的。其实通过存储过程,使用变量的话已经不存在SQL注入的危险了。
------解决方案--------------------
用字符串赋值可防止
exec sp_executesql--用系统存储过程
发现数字整形,也可以使用单引号操作,例如:select * from tab where id= '5 '
其中,id是整形,如果是这样,日后不管什么类型,也加单引号,这样是不是只要过滤了所有的单引号,就可以防止sql注入呢?
------解决方案--------------------
应该是这样的。其实通过存储过程,使用变量的话已经不存在SQL注入的危险了。
------解决方案--------------------
用字符串赋值可防止
exec sp_executesql--用系统存储过程
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
