黑马程序员技术交流社区

标题: 如何防止SQL注入 [打印本页]

作者: wang29901 时间: 2013-12-1 23:05
标题: 如何防止SQL注入
本帖最后由 wang29901 于 2013-12-2 20:14 编辑

如何防止SQL注入

作者: 许杰 时间: 2013-12-2 11:20
本帖最后由许杰于 2013-12-2 11:22 编辑

用传参的方式不要拼接字符串一般不会出现sql注入的
类似于这样的一般不会出现注入的
"select stuNum from userId where userName=@userName", new SqlParameter("@userName", strName)
这里面的userName就是一参数的形式传递的

作者: V_John 时间: 2013-12-2 12:31
如果问题得到解决，请修改为已解决

作者: 大牙到潍坊 时间: 2013-12-2 13:31
1.查看和修改等的权限分离2.过滤所有用户输入 3.把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令 4.用存储过程来执行所有的查询 5.完善用户输入的的长度和类型等验证 6.检查用户输入的合法性 7.将用户登录名称、密码等数据加密保存

欢迎光临黑马程序员技术交流社区 (http://bbs.itheima.com/)

黑马程序员IT技术论坛 X3.2