摘要:
先说说两会(这名字不怕被河蟹)的帖子哈:http://www.cnblogs.com/hkncd/archive/2012/03/31/2426274.html忽然发现,很多项目中还使用这种拼SQL语句的方式。真是早就该进步啊。以前一师兄说过用参数化查询,我没有仔细揣摩参数化查询的本质。知其然不知其所以然,那么看完这帖子,我的困觉一下的又醒了。马上来仔细讨论学习一下SQL参数化查询。引用:以往的防御方式以前对付这种漏洞的方式主要有三种:字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库 阅读全文
