参数化查询,防止sql注入漏洞
摘要:
参数化查询,防止sql注入漏洞攻击 这几天对于sql注入攻击进行了详细的研究,在这里做一下回顾。 首先,什么是注入漏洞攻击呢?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符,比如说过滤掉or, and , select sql等关键字,但是,这种方法存在一定的缺陷,在这里不做讨论,我们只看参数化查询解决sql注入漏洞的实例。 所谓的参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值 阅读全文
posted @ 2011-03-19 18:25 xirong 阅读(2800) 评论(5) 推荐(1) 编辑
