ASP+Access防SQL流入的一点疑问
日期:2014-05-16 浏览次数:20712 次
ASP+Access防SQL注入的一点疑问
ASP+Access防SQL注入,网上主要有两个方法:
一是检查参数类型,数值型直接判断是否是数字,字符型把一个单引号替换两个单引号;
二是过滤掉相关关键词,如select、update、delete from等。
我的疑问是,既然第一种方法可行的话,为什么还有那么多人推荐第二种效率降低的方法?还会误杀一些英文输入?
谁能帮我确认一下,只用方法一是否足够?谢谢!
------解决方案--------------------
第一种方法就行了,
第二种方法是多此一举,
而且很可能把有用的信息都过滤掉。
ASP+Access防SQL注入,网上主要有两个方法:
一是检查参数类型,数值型直接判断是否是数字,字符型把一个单引号替换两个单引号;
二是过滤掉相关关键词,如select、update、delete from等。
我的疑问是,既然第一种方法可行的话,为什么还有那么多人推荐第二种效率降低的方法?还会误杀一些英文输入?
谁能帮我确认一下,只用方法一是否足够?谢谢!
------解决方案--------------------
第一种方法就行了,
第二种方法是多此一举,
而且很可能把有用的信息都过滤掉。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
