SQL防注入式攻击 ----旧事重提(原)

现在的开发中基本上不用考虑这个问题啦,一般的ORM都帮你解决好啦。

如果有想自己动手写的,一般使用参数转值方式来解决,因些些类问题在开发中很少出现

但是在某些特殊情况下,必须得使用拼SQL的方式实现。因而就不可避免的要注意SQL防注入式攻击的问题

一般考虑如下

      因为SQL文中常用的无非就是：字符串和数字、日期型几种。

对数字：在拼接之前，先检查是不是数字，不是就报错。

对字符串：只要把SQL中的单引号替换成两个就OK了，如果SQL中有LIKE字句，那么还要把%替换成\%,_替换成\_ 。其它的字符都不用替换了

日期型：象字符型一样处理也行，但是SQL执行会报错，最好拼接前判断一下。