黑马程序员技术交流社区
标题:
用户没地方输入是不是不存在sql注入漏洞了?
[打印本页]
作者:
曹恒虎
时间:
2011-12-5 16:27
标题:
用户没地方输入是不是不存在sql注入漏洞了?
如果没有要用户输入啥东西,是不是可以在SQL里不用参数的方式了,用加字符串的形式也行?
用户没地方输入也就不存在sql注入漏洞了吧?
作者:
朱勋
时间:
2011-12-5 16:36
不是吧,貌似可以在浏览器栏里面拼字符串啊
作者:
曹恒虎
时间:
2011-12-5 18:07
朱勋 发表于 2011-12-5 16:36
不是吧,貌似可以在浏览器栏里面拼字符串啊
如果我是做成客户端的形式呢?
作者:
陆亚
时间:
2011-12-6 12:07
推荐用 参数化的方式,正规而且比较安全。
看上去你说的不让用户来输入可以避免SQL注入漏洞攻击,但操作起来存在一定麻烦,比如说登录界面,数据库中存在成千上万的用户,用一个下拉列表框来选择用户,增大了数据库压力,而且得不偿失。让用户填入密码时再动态产生一个键盘似乎太绕路子了。
作者:
黄友
时间:
2011-12-6 14:28
还是用参数吧,安全~
欢迎光临 黑马程序员技术交流社区 (http://bbs.itheima.com/)
黑马程序员IT技术论坛 X3.2