A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

© wang29901 中级黑马   /  2013-12-1 23:05  /  1135 人查看  /  3 人回复  /   0 人收藏 转载请遵从CC协议 禁止商业使用本文

本帖最后由 wang29901 于 2013-12-2 20:14 编辑

如何防止SQL注入

3 个回复

倒序浏览
本帖最后由 许杰 于 2013-12-2 11:22 编辑

用传参的方式    不要拼接字符串  一般不会出现sql注入的
类似于这样的   一般不会出现注入的
"select stuNum from userId where userName=@userName", new SqlParameter("@userName", strName)
这里面的userName就是一参数的形式传递的

评分

参与人数 1技术分 +1 收起 理由
V_John + 1

查看全部评分

回复 使用道具 举报
如果问题得到解决,请修改为已解决
回复 使用道具 举报
1.查看和修改等的权限分离2.过滤所有用户输入 3.把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令 4.用存储过程来执行所有的查询 5.完善用户输入的的长度和类型等验证 6.检查用户输入的合法性 7.将用户登录名称、密码等数据加密保存

评分

参与人数 1技术分 +1 收起 理由
茹化肖 + 1

查看全部评分

回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入黑马