A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

如果没有要用户输入啥东西,是不是可以在SQL里不用参数的方式了,用加字符串的形式也行?
用户没地方输入也就不存在sql注入漏洞了吧?

评分

参与人数 1技术分 +2 收起 理由
李荣壮 + 2

查看全部评分

4 个回复

倒序浏览
不是吧,貌似可以在浏览器栏里面拼字符串啊
回复 使用道具 举报
朱勋 发表于 2011-12-5 16:36
不是吧,貌似可以在浏览器栏里面拼字符串啊

如果我是做成客户端的形式呢?
回复 使用道具 举报
推荐用 参数化的方式,正规而且比较安全。

看上去你说的不让用户来输入可以避免SQL注入漏洞攻击,但操作起来存在一定麻烦,比如说登录界面,数据库中存在成千上万的用户,用一个下拉列表框来选择用户,增大了数据库压力,而且得不偿失。让用户填入密码时再动态产生一个键盘似乎太绕路子了。

评分

参与人数 1技术分 +2 收起 理由
李荣壮 + 2

查看全部评分

回复 使用道具 举报
还是用参数吧,安全~

评分

参与人数 1技术分 +1 收起 理由
李荣壮 + 1

查看全部评分

回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入黑马