Re: [討論] 大家對SQL injection的有效防制方法怎 …
※ 引述《sunflier (叮噹)》之銘言:
: 若是要將讓程式去接觸到sql server的時候,總免不了
: 會要考慮到sql injection的問題。
記得買本書先看~
我買書,若看到作者執行sqlcommand沒有避開sql injection
我就不會買那本。
答案是使用SqlParameter,如:
int id = 1;
cmd.CommandText = "DELETE FROM table WHERE id=@id";
cmd.Parameter.Add("@id", id)
cmd.ExecuteNonQuery();
反推,我學java時也會注意sql injection的問題
它沒強調,但其PreparedStatement能避開,我測過!!
學php時,至目前只能用addslashe()一個一個加,蠻原始的。
至於asp,看書說有parameter物件,但不知怎麼用...
以上,是我大概學主流web語言的經驗。
--
貫徹分享精神
我為人人,人人為我
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.119.183.211
推
203.73.237.75 04/04, , 1F
203.73.237.75 04/04, 1F
討論串 (同標題文章)
C_Sharp 近期熱門文章
PTT數位生活區 即時熱門文章
