发布网友
共3个回答
热心网友
最常见的两种方式,也是我的team里面我要求teammate最基本的
1) 接收参数输入的时候就过滤掉注入内容,譬如注释--, 'or 1=1', 还有关键字update alter 等
2) 强烈建议运用参数传递。如楼上所言,运用preparestatement是一个很有效的防止注入的方法。传递参数这一步可以过滤掉很多注入代码的。
热心网友
采用参数化变量可以防止
可以参考 http://msdn.microsoft.com/en-us/library/cc676512.aspx
热心网友
其他语言我不知道
在java里面,如果你是用的jdbc的话,那么用Statement的时候会被sql注入,所以一般我们都是用preparedStatement或者直接用框架,像hibernate,ibaties这些