解决方案 »

  1.   

    就是变量的合法性,以前不是经常要对变量进行XXXX过滤,来防御SQL语句不是按你的所想的执行
      

  2.   

    那叫SQL注入。当然不是完全不用,合理的检查应该从前端就开始检查,数据库也要检查,参数化是其中一个方案,但是不是唯一方案。
      

  3.   

    那么按你的意思说,即使是参数化也有可能被黑么,对么?
    既然如此我们需要做哪些工作呢? 过滤 MSSQL里的关键词?
    请大版主指点一二……
      

  4.   

    这个说起来一本书啊。网络→服务器→sqlserver→数据库→行列等等权限都要每一层控制,前端程序也要做你能想到的一切方式去避免被注入
      

  5.   

    我需要做一个搜索页面,参数是放在URL里的
      

  6.   

    看看sql注入的功略,在研究下自己的sql代码就能发现可能存在的漏洞
      

  7.   

    还没写完http://blog.csdn.net/dba_huangzj/article/details/37906349