2009年11月27日
给认为SQL注入不仅仅只需要转换整数和过滤单引号,还需要考虑编码问题的人解惑
摘要: 昨天看到一篇 预防SQL注入攻击之我见 ,发现好多人认为防止sql注入很麻烦,要考虑编码等等。sql注入的本质上是程序员写的拼凑的SQL语句的某个部分需要一个字面值,而这个字面值却是由最终用户决定,最终用户可以构造一个错误的字面值来改变这条SQL语句的语义。字面值有哪些呢?一般就是数字和字符串,日期在access里可以用#符号包含进来作为字面值,在sqlserver里似乎不能直接作为字面值。预防S... 阅读全文
posted @ 2009-11-27 13:20 我想我是风 阅读(3303) 评论(31) 推荐(1) 编辑