2008年11月28日
防SQL注入:生成参数化的通用分页查询语句
摘要: 前些时间看了玉开兄的“如此高效通用的分页存储过程是带有sql注入漏洞的”这篇文章,才突然想起某个项目也是使用了累似的通用分页存储过程。使用这种通用的存储过程进行分页查询,想要防SQL注入,只能对输入的参数进行过滤,例如将一个单引号“'”转换成两个单引号“''”,但这种做法是不安全的,厉害的黑客可以通过编码的方式绕过单引号的过滤... 阅读全文
posted @ 2008-11-28 16:05 四眼蒙面侠 阅读(4748) 评论(31) 推荐(0) 编辑