如何优雅的防止 sql 注入？

@dallaslu 要命

@dallaslu

这是在开玩笑么？

select * from user where username='v2ex' and password='235512'
select * from user where password='235512' and username='v2ex'
select * from user where password = '235512' and username = 'v2ex'
select * from user where password = '235512' and username = 'v2ex'

select *
from user
where password = '235512' and username = 'v2ex'

Select * from user where username='v2ex' and password='235512'
sElect * from user where username='v2ex' and password='235512'
....
select * from user where username='v2ex' anD password='235512'

select * from user where password = '235512' and 1=1 and username = 'v2ex'
select * from user where password = '235512' and 1=1 and 0=0 and username = 'v2ex'

@dallaslu 然而你这方案优雅和保命都不沾边。
执行带参数的 sql 语句唯一正确的方式就是使用 prepared statement

@tflz514 截图这工具是自研产品？误报漏报率如何

@BlueWolf http://www.oneasp.com/

只有正确与错误的做法。
正确的做法直接免疫 SQL 注入，不需要防止不防止，不需要关心优雅还是污。
错误的做法都是污。再优雅也污。

@virusdefender 你也去长亭啦？

@MrMario 嗯，是的~

参数化即可解决，

@raincious 然而程序员知道自己写的 SQL 是什么格式，其他形式的语句就可以忽略了。

@incompatible 然而你能幽默一些么

prepared statement ，优雅的解决方案

@dallaslu 你给了一个业余的解决方案，我纠正了你 这跟幽默有什么关系？

我认为比较优雅的方式：检测到测试者提交非法变量，就输出死循环 alert ，或让其浏览器假死崩溃
测试者手忙脚乱，你在屏幕这边自然就优雅了

@incompatible 楼主问的是「如何优雅」而不是「如何专业」地解决 SQL 注入。所以最关注的不是有效解决问题，而是解决问题的姿势，一定要优美雅致有情调。何况 3 楼已经提到 PreparedStatement ，楼主也补充了是他司对 PreparedStatement 不放心……唯有用逼死人的方案，才能让其顿悟。和你说这些，我一定是醉了……

@dallaslu 然而我也不认为你解决问题的姿势有什么优雅可言
你我笑点和品位不 match 没什么可多说的了

@incompatible 这也能吵起来……

@mornlight 果然。。。去年在那公司，破 B 后台非让我加个正则，我说前端你加的再多，别人想黑你一样能绕过，有啥用。。。。他就是让我加，还各种改来改去。。。。弃坑果然没错