关于sql注入的问题,高手进啊! 我现在要用到动态sql,所以sql是根据画面逻辑拼接起来的,这样sql注入的风险就很大,目前我的画面上有传入的参数都使用了‘参数’包装,就是都作为字符传传入的。并且对'进行了''的转换。自己也测过一下,对普通的1=1之类的是没用问题的。但是就怕转为字符串后也不安全。现在请教大家,有没有什么防范的方法。 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 用参数传递呀,没错!请参考sql注入的专题:http://topic.csdn.net/u/20081205/09/3dd06076-bcbe-45d4-998c-8999fdbe6fae.html?seed=2047939226 大家好,以上的提议我都了解一点。现在用的是struts框架做的,一般修改url的方法是没有用的。所以注入只能是从表单提交的数据或者发送http来进行。现在担心的就是从画面提交过去的数据有问题 不知道你说的是数据处理的问题还是数据传递的问题,jdbc的预处理何以解决数据注入的问题,至于参数传递的问题,通过form表单传递是不会有问题的。 如果你一定要用url后面加参数的方式传递内容,可以用javascript 的escape(phone)方法进行转码 安装11g时总卡住 请大侠帮帮忙写一条SQL语句 update使所有更新字段数据都变为空 安装ORACLE9i于中文Windows XP sql语句中的遇到的一个问题 tnsping能通,为什么sqlplus确连不上 这个sql语句如何些 请牛人帮助解决拉!急!!急!!急!! Oracle菜鸟问题(关于登录Sql*Plus) 一个关于数据类型的难题! PL\SQL怎样捕获异常? pl/sql 中能开发多线程的程序吗?
http://topic.csdn.net/u/20081205/09/3dd06076-bcbe-45d4-998c-8999fdbe6fae.html?seed=2047939226