关于sql注入的问题,高手进啊! 我现在要用到动态sql,所以sql是根据画面逻辑拼接起来的,这样sql注入的风险就很大,目前我的画面上有传入的参数都使用了‘参数’包装,就是都作为字符传传入的。并且对'进行了''的转换。自己也测过一下,对普通的1=1之类的是没用问题的。但是就怕转为字符串后也不安全。现在请教大家,有没有什么防范的方法。 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 用参数传递呀,没错!请参考sql注入的专题:http://topic.csdn.net/u/20081205/09/3dd06076-bcbe-45d4-998c-8999fdbe6fae.html?seed=2047939226 大家好,以上的提议我都了解一点。现在用的是struts框架做的,一般修改url的方法是没有用的。所以注入只能是从表单提交的数据或者发送http来进行。现在担心的就是从画面提交过去的数据有问题 不知道你说的是数据处理的问题还是数据传递的问题,jdbc的预处理何以解决数据注入的问题,至于参数传递的问题,通过form表单传递是不会有问题的。 如果你一定要用url后面加参数的方式传递内容,可以用javascript 的escape(phone)方法进行转码 在物理Standby上实现读写分离 数据库压缩问题 CPU都几乎占用100%,我该怎么办? 如何用ODP.net(Oracle.DataAccess.Client非System.Data.OracleClient)生成类型化的DataSet? 求ORACLE考试系统! 一次性执行:查看是否存在记录,并执行插入操作! 请教一条SQL语句 出现ora-00227错误,重建控制文件又出现错误 数据导入(带序列字段的)问题 关于在oracle中存储和调用图片? PL\SQL怎样捕获异常? pl/sql 中能开发多线程的程序吗?
http://topic.csdn.net/u/20081205/09/3dd06076-bcbe-45d4-998c-8999fdbe6fae.html?seed=2047939226