1
我刚刚读了this question,当时我想知道我应该如何构建自己的查询。SQL转义遵循什么规则?
到现在为止,我刚刚建成使用StringBuilder一个字符串,因为在这个应用程序只选择,更新,插入和删除被使用。现在我也想知道正确的转义,当我问自己时,为什么转义不仅仅是将这些符号'
转换为这个\'
。
转义背后是否存在更复杂的行为还是会完成?
感谢您的输入!
我刚刚读了this question,当时我想知道我应该如何构建自己的查询。SQL转义遵循什么规则?
到现在为止,我刚刚建成使用StringBuilder一个字符串,因为在这个应用程序只选择,更新,插入和删除被使用。现在我也想知道正确的转义,当我问自己时,为什么转义不仅仅是将这些符号'
转换为这个\'
。
转义背后是否存在更复杂的行为还是会完成?
感谢您的输入!
字符串建立的SQL是一个坏主意,因为它使你容易受到SQL注入攻击。
如果您可以将您的查询存入存储过程并参数化您的输入值。
有关SQL注入攻击的信息,以及如何阻止他们,看到了开放Web应用安全项目选址:
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
+1这也是不好的表现,而对于存储过程的查询计划可以很容易地重新使用。 – Bridge 2012-03-30 07:35:52