sql注入的问题
1. ADD.NEW方法是否比INSERT INTO安全?
ADD.NEW是每行输入进数据库,那么就算黑客在某字段里加进特殊字符,也一起进数据库了。可是ADD.NEW不也是最后转成INSERT INTO的吗?
2. 如过滤单引号的方式,比如
过滤为双引号,那么假设正规的用户发表的文章里有单引号也有双引号,就都成双引号,在取出数据又要将双引号转换为单引号,就连本来是双引号的都转成单引号了。
有什么好方法吗?
------解决方案--------------------我确定Addnew可以直接加,不用将 '转意.
如果你是sql server数据库, I am 'CSDN '. I say: "hello ". Insert的时候只要将 '转成 ' '(注意:不是双引号,是两个单引号!!),那么存到数据库里就是单引号,取出来的时候不用再转回来的。