那些遇到过的问题

SQL注入保护 - 从字符串转换为int

pln*_*txt 8 sql-injection

我们都知道参数化SQL是处理用户输入和动态SQL时的方法,但是如果您要搜索的输入是数字,则从字符串转换为int(或double,或long,或其他)是有效的?

我想我要问的是,如果单独使用这种技术在SQL注入方面是绝对可靠的吗?

Luk*_*keH 10

我不是专家,但我有理由相信这是安全的.

但为什么要冒这个机会呢?使用参数化SQL,您无需担心它.

此外,参数化SQL还有其他优点,而不仅仅是注入保护.

归档时间:

查看次数:

3724 次

最近记录:

16 年,9 月 前
相关归档
用于rails控制器中create方法的sql注入预防 7
防止SQL注入/好Ruby方法 5
在PHP中的SQL查询中将变量转换为整数 5
可以在 WHERE 中执行 UPDATE 子句吗? 5
SQLException:仅带有PreparedStatement的无效参数索引1 5
SQL注入应该做什么? 4
全面的服务器端验证 3
如何在php中使用bigint来防止sql注入? 3
SQL Server如何防止动态sql中的sql注入 3
基本的PHP sql注入问题 2
难疑归档
如何在ActionScript 3中将"Null"(真正的姓氏!)传递给SOAP Web服务? 4603
如何在shell脚本中打印JSON? 2905
如何让Git忽略文件模式(chmod)的变化? 2188
如何生成随机字母数字字符串? 1679
当键盘出现时 - 如何开始编辑时,如何让UITextField向上移动? 1674
检查变量是否是JavaScript中的字符串 1550
如何在Bash中将变量设置为命令的输出? 1513
jQuery document.createElement等价? 1226
什么是在Vim中评论/取消注释行的快速方法? 1081
返回IEnumerable <T>与IQueryable <T> 1051