关于sql注入的问题,高手进啊!

我现在要用到动态sql,所以sql是根据画面逻辑拼接起来的,这样sql注入的风险就很大,目前我的画面上有传入的参数都使用了‘参数’包装,就是都作为字符传传入的。并且对'进行了''的转换。自己也测过一下,对普通的1=1之类的是没用问题的。但是就怕转为字符串后也不安全。现在请教大家,有没有什么防范的方法。

解决方案 »

  1.   

    用参数传递呀,没错!请参考sql注入的专题:
    http://topic.csdn.net/u/20081205/09/3dd06076-bcbe-45d4-998c-8999fdbe6fae.html?seed=2047939226
      

  2.   

    大家好,以上的提议我都了解一点。现在用的是struts框架做的,一般修改url的方法是没有用的。所以注入只能是从表单提交的数据或者发送http来进行。现在担心的就是从画面提交过去的数据有问题
      

  3.   

    不知道你说的是数据处理的问题还是数据传递的问题,jdbc的预处理何以解决数据注入的问题,至于参数传递的问题,通过form表单传递是不会有问题的。
      

  4.   

    如果你一定要用url后面加参数的方式传递内容,可以用javascript 的escape(phone)方法进行转码