Re: [SQL ] SQL Injection
※ 引述《TonyQ (骨頭)》之銘言:
: ※ 引述《razor (=_=)》之銘言:
: : 在未告知的情況下,把'去掉是不對的;
: 是的,不過一般而言,
: 我會這麼處理的都是不應該會出現'這符號的欄位,
: ex.帳號密碼..在撰寫的時候就要求它不能輸入',
: 雖然這些可以用JavaScript作頁面上的過慮,
: 但是難防從網址上直接帶過來的參數闖關。
通常需要擔心這種東西的
大部分是帳號密碼之類的(當然其他的也不是不用顧慮啦)
簡單地說,這個時候用 POST 比較好
(絕大多數時候,POST 都比較好)
不過,這已經離開這個版的討論範圍了
: : 通常容許使用者在輸入文字中可帶有'符號.
: : 為了避免'符號造成句子結構的破壞,會用到escape sequence,
: 程式語言的部份這是我知道的
: 我想問的是單就SQL語法而言裡面有沒有特別處理的方式。
: 因為我試過 \' 在SQL好像不吃。@0@
我記得標準 SQL 是用兩個 '' 來代表一個 '
針對你的問題,我的做法是,在組 SQL 句子的時候
就先把外來變數(相對於 SQL 句子)全部 replace 掉
--
侃侃長論鮮窒礙 網站:http://www.psmonkey.idv.tw
眾目睽睽無心顫 個人版:telnet://legend.twbbs.org
煢居少聊常人事
殺頭容易告白難 歡迎參觀 Java 版(@ptt.cc)精華區 \囧/
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.32.98.90
討論串 (同標題文章)
Database 近期熱門文章
PTT數位生活區 即時熱門文章
