解决SQL注入

1、关键字替换
如：%,*
替换成 _%,_*

如输入 ：%123=
替换成 _%123=

2 、检索
where ... and name like str（被替换过的字符） escape('_')

解决，关键字替换

3、建议，不要写SQL时，把 前台用户 输入的 内容，直接拿到 SQL作为参数

在后再这样写SQL，是不好的
WHERE .... AND COLUMN = STR(用户输入的内容)

如果，用户输入的是 ' OR 1=1 ，或 '' or 1=1 , (形式很多,不对可以试的)
SQL成了 where ... and COLUMN = '' or 1=1
就，死定了 1=1 ，永远为真，什么都可以检索到啦。

避免这些，可以动态的传入参数，或在前台做check什么的。

在查查，用access ，有防注入攻击。

具体的，我用的是ORACLE，我知道怎么办，access没用过，应该有避免注入攻击的SQL写法的

-----------------

那个网站，贴出来。让我上去注注，，
哈哈

屏蔽关键字

在数据库语句进行操作前还应该做输入的检查
比如说;'<>!=\/等

网站被黑了 没整...

在用户名和密码输入时过滤关键字，如;'<>!=\/等

找到注入点，尽量用参数传值