黑马程序员技术交流社区

标题: 用户没地方输入是不是不存在sql注入漏洞了？ [打印本页]

---

作者: 曹恒虎    时间: 2011-12-5 16:27
标题: 用户没地方输入是不是不存在sql注入漏洞了？
如果没有要用户输入啥东西，是不是可以在SQL里不用参数的方式了，用加字符串的形式也行？
用户没地方输入也就不存在sql注入漏洞了吧？

---

作者: 朱勋    时间: 2011-12-5 16:36
不是吧，貌似可以在浏览器栏里面拼字符串啊

---

作者: 曹恒虎    时间: 2011-12-5 18:07

朱勋 发表于 2011-12-5 16:36
不是吧，貌似可以在浏览器栏里面拼字符串啊

如果我是做成客户端的形式呢？

---

作者: 陆亚    时间: 2011-12-6 12:07
推荐用 参数化的方式，正规而且比较安全。

看上去你说的不让用户来输入可以避免SQL注入漏洞攻击，但操作起来存在一定麻烦，比如说登录界面，数据库中存在成千上万的用户，用一个下拉列表框来选择用户，增大了数据库压力，而且得不偿失。让用户填入密码时再动态产生一个键盘似乎太绕路子了。

---

作者: 黄友    时间: 2011-12-6 14:28
还是用参数吧，安全~

---

欢迎光临 黑马程序员技术交流社区 (http://bbs.itheima.com/)

黑马程序员IT技术论坛 X3.2