作者tomex (tomex_ou)
看板C_Sharp
标题Re: [讨论] 大家对SQL injection的有效防制方法怎 …
时间Sun Apr 3 23:37:52 2005
※ 引述《sunflier (叮当)》之铭言:
: 若是要将让程式去接触到sql server的时候,总免不了
: 会要考虑到sql injection的问题。
记得买本书先看~
我买书,若看到作者执行sqlcommand没有避开sql injection
我就不会买那本。
答案是使用SqlParameter,如:
int id = 1;
cmd.CommandText = "DELETE FROM table WHERE id=@id";
cmd.Parameter.Add("@id", id)
cmd.ExecuteNonQuery();
反推,我学java时也会注意sql injection的问题
它没强调,但其PreparedStatement能避开,我测过!!
学php时,至目前只能用addslashe()一个一个加,蛮原始的。
至於asp,看书说有parameter物件,但不知怎麽用...
以上,是我大概学主流web语言的经验。
--
贯彻分享精神
我为人人,人人为我
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.119.183.211
1F:推 liunate:哈别这麽苛吗...林煌章的书没用para还是不错的 203.73.237.75 04/04