有效防止SQL注入漏洞
1.如果动态构造的SQL语句中包含参数,请必须对参数做如下操作
a.将'(单引号)替换成''(两个单引号)
b.将--(注释符)替换掉
c.将参数加入语句时,一定要在前后各加上引号,如:'select * from table where id='''+@id+''''这样的加法
2.如果动态构造的SQL语句中包含表参数,请勿必给表加上[](中括号),如:'select * from ['+@tab+']'这样的做法
如果还有漏掉的情况,请朋友们指出示例与解决方法.
有效防止SQL注入漏洞
1.如果动态构造的SQL语句中包含参数,请必须对参数做如下操作
a.将'(单引号)替换成''(两个单引号)
b.将--(注释符)替换掉
c.将参数加入语句时,一定要在前后各加上引号,如:'select * from table where id='''+@id+''''这样的加法
2.如果动态构造的SQL语句中包含表参数,请勿必给表加上[](中括号),如:'select * from ['+@tab+']'这样的做法
如果还有漏掉的情况,请朋友们指出示例与解决方法.