StringBuilder防注入

来源：百度知道编辑：UC知道时间：2024/06/08 10:44:57

在csdn提了个问题,有人说只要是拼接SQL,一定会被注入..
不考虑用存储过程,还有什么方法呢? 参数化?

http://topic.csdn.net/u/20090331/09/c867f36c-50b9-4069-bf2c-bffd4cc7f5f0.html?seed=1335392860

对于访注入，其实是要求对输入数据进行检查的，包括：
1. 类型检查，例如：整数、日期等合法性。
2. 内容检查，例如：不能包含特殊符号，如果有特殊符号，进行转义等。
这和你拼接SQL的方法没有关系的。
比如Java推荐用PrepareStatemnet，那样的参数定义为很完整，基本上可以避免注入攻击。

主要的注入攻击可能发生在SELECT语句中，因为Where条件是允许自由编写的，这时要注意进行检查。

注入的可能性很小,

stringbuilder stringBuilder怎么用？检查StringBuilder为空 string 和stringbuilder类的区别 String Stringbuffer和StringBuilder的区别? C#中StringBuilder为什么比+还要慢 SQL防注, System.String和System.StringBuilder有什么区别 java.lang.NoClassDefFoundError: java/lang/StringBuilder 什么是SQL防注功能