V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
chanchan
V2EX  ›  程序员

SQL 防注入办法是不是无非两种,预编译和转义特殊字符?

  •  1
     
  •   chanchan · 2018-12-01 15:47:51 +08:00 · 1784 次点击
    这是一个创建于 1944 天前的主题,其中的信息可能已经有所发展或是发生改变。

    prepareStatement 能防注入靠的的是预编译而不是转译参数里的特殊字符,更不是靠占位符,对吧? 有人和我争 prepareStatement 是因为预编译和占位符,虽然 prepareStatement 用了占位符但我认为防注入是因为预编译和占位符没有关系,占位符只是为了拼接参数用的。

    paragon
        1
    paragon  
       2018-12-01 17:43:20 +08:00
    TALK IS CHEAPER 你认为是就写代码去验证~
    firebroo
        2
    firebroo  
       2018-12-01 21:18:09 +08:00 via Android
    wireshark 抓下预编译的包和普通包的协议格式
    chanchan
        3
    chanchan  
    OP
       2018-12-01 21:36:45 +08:00
    @firebroo 不会用啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   4836 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 09:55 · PVG 17:55 · LAX 02:55 · JFK 05:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.