那些遇到过的问题

SQL参数 - 使用位置

The*_*ver 2 mysql sql database parameters

我正在将SQL参数应用于我的项目以防止SQL注入.

我是否为我的应用程序中的每个查询添加参数,包括没有任何用户交互的查询?

例如,如果我的用户想要搜索关键字并提交了文本字段.我已经将参数化方法添加到使用该关键字的查询中,以阻止用户添加恶意内容.但是在这个查询下面是另一个查询,它从顶部搜索获得关键字ID并在其他地方运行它自己的小查询.

这是令我困惑的,即使关键字ID不是来自用户,我是否也将参数方法添加到此查询中?

非常感谢

Ode*_*ded 5

是的,在您拥有参数的任何地方使用参数化查询.

这事实上今天没有用户输入的是在一个特定的查询中,并不意味着明天将是相同的.代码更改.也许恶意用户会弄清楚如何破坏第一个查询,然后是第二个查询.

你应该深入思考防守.

  • 以下是Jeff Atwood的主题:http://www.codinghorror.com/blog/2005/04/give-me-parameterized-sql-or-give-me-death.html (2认同)

归档时间:

查看次数:

318 次

最近记录:

14 年,1 月 前
相关归档
mysql order by,null first,和DESC之后 74
EC2上的Amazon RDS Aurora vs RDS MySQL vs MySQL? 39
从union tsql中选择 25
我们可以使用sql列出msaccess数据库中的所有表吗? 17
优化MySQL搜索查询 14
SQL中的DELETE和DELETE FROM之间的区别? 11
如何使用别名选择列 11
在自动触发的默认侦听器之前,激活Hibernate自定义事件侦听器 8
可以将内存表添加到数据库图表中吗 7
如何将参数从批处理(.bat)传递到VBScript(.vbs)? 4
难疑归档
使用Git将最近的提交移动到新分支 4647
如何在JavaScript中将字符串转换为布尔值? 2328
在Mac上查找(并终止)进程锁定端口3000 1595
如何在Javascript中的数组开头添加新的数组元素? 1476
在Chrome中停用相同的来源政策 1443
如何使用Bash将stdout和stderr重定向并附加到文件中? 1440
将文件从Docker容器复制到主机 1438
我在哪里将'assets'文件夹放在Android Studio中? 1366
什么是Python 3相当于"python -m SimpleHTTPServer" 1124
基于容器宽度的字体缩放 1083