有效防止SQL注入漏洞
1.如果动态构造的SQL语句中包含参数,请必须对参数做如下操作a.将'(单引号)替换成''(两个单引号)b.将--(注释符)替换掉c.将参数加入语句时,一定要在前后各加上引号,如:'select * from table where 这样的加法2.如果动态构造的SQL语句中包含表参数,请勿必给表加上[](中括号),如:'select * from ['+@tab+']'这样的做法如果还有漏掉的情况,请朋友们指出示例与解决方法.
本文共 303 字,大约阅读时间需要 1 分钟。
有效防止SQL注入漏洞
1.如果动态构造的SQL语句中包含参数,请必须对参数做如下操作a.将'(单引号)替换成''(两个单引号)b.将--(注释符)替换掉c.将参数加入语句时,一定要在前后各加上引号,如:'select * from table where 这样的加法2.如果动态构造的SQL语句中包含表参数,请勿必给表加上[](中括号),如:'select * from ['+@tab+']'这样的做法如果还有漏掉的情况,请朋友们指出示例与解决方法.
转载于:https://www.cnblogs.com/wudingfeng/archive/2011/01/12/1933986.html