有效防止SQL注入漏洞

于 2011-01-12 16:53:00 发布
阅读量69 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/wudingfeng/archive/2011/01/12/1933986.html

有效防止SQL注入漏洞
1.如果动态构造的SQL语句中包含参数,请必须对参数做如下操作
a.将'(单引号)替换成''(两个单引号)
b.将--(注释符)替换掉
c.将参数加入语句时,一定要在前后各加上引号,如:'select * from table where id='''+@id+''''这样的加法
2.如果动态构造的SQL语句中包含表参数,请勿必给表加上[](中括号),如:'select * from ['+@tab+']'这样的做法

如果还有漏掉的情况,请朋友们指出示例与解决方法.

转载于:https://www.cnblogs.com/wudingfeng/archive/2011/01/12/1933986.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值