我有一个名为Description
的字段的jsp表单。声明为这个字段如下一个jsp表格的字段验证
<input type="text" name="description">
用来组成SQL查询此值:
SELECT * FROM发动机,其中描述LIKE '%(从场值)%'
当用户输入的字母数字字符可以正常工作,但用户输入特殊字符时会失败,如单引号:'
我的q uestions:
- 我该如何处理这个在服务器端
- 如果有必要的JavaScript来实现,那么已经被过滤什么字呢?
谢谢。
最终用户可以完全控制JavaScript代码。所以绝对不要在JavaScript中进行这种转义。在服务器端使用'PreparedStatement'。无论你使用什么框架都不支持它,责怪它的作者。这是一个**巨大的**设计错误,因为它使得SQL注入攻击面临大门。 – BalusC 2012-04-26 14:24:51