关于Sql注入问题??????,是不是过滤关键字啊?
------解决方案--------------------------------------------------------
用存储过程就可以了 不用非的过滤关键字
------解决方案--------------------------------------------------------
貌似只要过滤单撇就可以了
------解决方案--------------------------------------------------------
好象搞定 '就差不多了
------解决方案--------------------------------------------------------
官方方法:
使用 SQLParamenter ~
把你的SQL语句写成 类似存储过程
select * from user where uid=@uid and pwd=@pwd
使用这个SQL语句定义为 SQLCommand 对象 然后使用 Paramenter 对象把 @*** 替换为 值
就可以搞定注入式漏洞了
------解决方案--------------------------------------------------------
过滤关键字也是一种比较重要的方法
------解决方案--------------------------------------------------------
SqlParamenter 就可以过滤了
------解决方案--------------------------------------------------------
mark!!1
------解决方案--------------------------------------------------------
用加参数的方法传递参数,不要用字符串拼接的方式