如果没有要用户输入啥东西，是不是可以在SQL里不用参数的方式了，用加字符串的形式也行？
用户没地方输入也就不存在sql注入漏洞了吧？

不是吧，貌似可以在浏览器栏里面拼字符串啊

朱勋 发表于 2011-12-5 16:36
不是吧，貌似可以在浏览器栏里面拼字符串啊

如果我是做成客户端的形式呢？

推荐用 参数化的方式，正规而且比较安全。

看上去你说的不让用户来输入可以避免SQL注入漏洞攻击，但操作起来存在一定麻烦，比如说登录界面，数据库中存在成千上万的用户，用一个下拉列表框来选择用户，增大了数据库压力，而且得不偿失。让用户填入密码时再动态产生一个键盘似乎太绕路子了。

还是用参数吧，安全~