SQL 防注入办法是不是无非两种,预编译和转义特殊字符?

2018-12-01 15:47:51 +08:00
 chanchan

prepareStatement 能防注入靠的的是预编译而不是转译参数里的特殊字符,更不是靠占位符,对吧? 有人和我争 prepareStatement 是因为预编译和占位符,虽然 prepareStatement 用了占位符但我认为防注入是因为预编译和占位符没有关系,占位符只是为了拼接参数用的。

1861 次点击
所在节点    程序员
3 条回复
paragon
2018-12-01 17:43:20 +08:00
TALK IS CHEAPER 你认为是就写代码去验证~
firebroo
2018-12-01 21:18:09 +08:00
wireshark 抓下预编译的包和普通包的协议格式
chanchan
2018-12-01 21:36:45 +08:00
@firebroo 不会用啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/513337

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX