那些遇到过的问题

如何在SQL查询中转义特殊字符,以避免注入

Raf*_*ari 3 sql delphi delphi-2010

使用delphi 2010,我想知道是否有某种方法来逃避以下字符串,以使其免受sql注入攻击:

我的字符串:

    SQLQuery1.SQL.Text := 'SELECT * FROM registered WHERE email="'+
      email+'" and login_pass="'+password+'"';
Run Code Online (Sandbox Code Playgroud)

如何重写这个字符串,使其比有人在我的TEditbox中输入"他的电子邮件或密码"更安全!

Ken*_*ite 13

使用参数,让数据库驱动程序处理这些东西.

SQLQuery1.SQL.Text := 'SELECT * FROM registered WHERE email= :email'+
  ' and login_pass = :password';
SQLQuery1.ParamByName('email').AsString := EMail;
SQLQuery1.ParamByName('password').AsString := Password;
Run Code Online (Sandbox Code Playgroud)

  • 这段代码完美无缺; 我在每天运行的大量代码中使用它.你用的是什么数据库?什么数据库组件?(顺便说一句,在发布SQL问题时,你应该总是提到数据库引擎,因为它们之间的语法和功能是不同的.) (3认同)
  • @Rafik:再一次,您正在使用什么数据库**,什么组件?(我在最近的评论中问,是否您会注意到这一点。) (2认同)

归档时间:

查看次数:

8014 次

最近记录:

9 年,7 月 前
相关归档
Rails 4 LIKE查询 - ActiveRecord添加引号 120
日历System.Globalization.GregorianCalendar中不支持字符串表示的DateTime 31
如何在SQL Server的`GetDate()`函数的结果中添加小时数? 19
计算TDbGrid中的行数 8
如何查找IHTMLDocument2是否等于Delphi中的IDispatch文档? 7
如何使用Delphi从Thunderbird获取电子邮件消息 5
TClientdataset的参数错误无效 4
delphi xe2 tms组件在x64平台下不可用 4
修剪字段 3
不区分大小写的Bob Jenkins哈希? 1
难疑归档
将(移动)子目录分离到单独的Git存储库中 1712
什么是尾递归? 1602
使用jQuery将表单数据转换为JavaScript对象 1580
Dockerfile中CMD和ENTRYPOINT有什么区别? 1484
没有指定分支的"git push"的默认行为 1339
如何删除重复的行? 1254
更改列:null为非null 1177
在Python中检查类型的规范方法是什么? 1171
如何加入(合并)数据框(内部,外部,左侧,右侧)? 1155
使用node.js作为简单的Web服务器 1068