关于sql注入问题
发现数字整形,也可以使用单引号操作,例如:select * from tab where id= '5 '
其中,id是整形,如果是这样,日后不管什么类型,也加单引号,这样是不是只要过滤了所有的单引号,就可以防止sql注入呢?
[解决办法]
应该是这样的。其实通过存储过程,使用变量的话已经不存在SQL注入的危险了。
[解决办法]
用字符串赋值可防止
exec sp_executesql--用系统存储过程
发布时间: 2012-02-01 16:58:19 作者: rapoo
关于sql注入问题
发现数字整形,也可以使用单引号操作,例如:select * from tab where id= '5 '
其中,id是整形,如果是这样,日后不管什么类型,也加单引号,这样是不是只要过滤了所有的单引号,就可以防止sql注入呢?
[解决办法]
应该是这样的。其实通过存储过程,使用变量的话已经不存在SQL注入的危险了。
[解决办法]
用字符串赋值可防止
exec sp_executesql--用系统存储过程