采用拼接SQL语句的坏处
来源:互联网 发布:java包有什么用 编辑:程序博客网 时间:2024/04/30 12:53
采用拼接SQL语句。这样做很容易引起SQL注入攻击。
那么SQL注入是什么了?
SQL注入是目前比较常见的针对数据库的一种攻击方式。在这种攻击方式中,攻击者会将一些恶意代码插入到字符串中。然后会通过各种手段将该字符串传递到SQLServer数据库的实例中进行分析和执行。只要这个恶意代码符合SQL语句的规则,则在代码编译与执行的时候,就不会被系统所发现。由此可见SQL注入式攻击的危害是很大的。
防止SQL注入:
总体来说,防治SQL注入式攻击可以采用两种方法,一是加强对用户输入内容的检查与验证;二是强迫使用参数化语句来传递用户输入的内容。
比如说以前采用:
insert into test values('"+id+"','"+name+"');
现在可以改成:
string cmd = "insert into test values(@id,@name)";
MySqlParameter[] paras ={
new MySqlParameter("@id",MySqlDbType.String),
new MySqlParameter("@name",MySqlDbType.String)
};
paras[0].Value = ID;
paras[1].Value = Name;
带参数的sql语句唯一的缺点就是占用系统资源的问题了,因为它是早被预编译好的东西,所以系统在调用的时候是直接使用的。
但是相比于直接拼接的SQL语句。利还是大于弊。
- 采用拼接SQL语句的坏处
- 代码里使用字符串操作来拼接sql语句的坏处
- sql 语句的拼接
- SQL使用SELECT *的坏处
- SQL语句中和字符串的拼接问题
- ADO.NET 中 SQL 语句的拼接
- 数据库增删改查未拼接的 sql语句
- 关于拼接SQL语句sqlMap的使用方法
- sql语句的拼接和写法
- mybatis批量删除的sql语句拼接
- java注解:完成sql语句的拼接
- 技巧-----sql语句拼接
- 拼接sql语句
- SQL语句拼接。。。
- sql语句拼接
- SQL查询语句拼接
- iwebshop sql语句拼接
- sql语句拼接
- 阿里巴巴B2B业务推实名制防欺诈
- 通过 PythonNet 使用 WPF
- linux sed 命令
- Struts2文件的上传
- silverlight 乐动魔方 实战九
- 采用拼接SQL语句的坏处
- Rijndaels的使用
- 网页抓取hao123的手机号码归属地查询
- Nagle算法TCP_NODELAY和TCP_CORK CP_NODELAY
- Android学习笔记之mainfest文件中android属性
- 建立拆分窗口
- 正点CSS实例---scrollbar 滚动条颜色 设置
- struts2上传下载
- FC模拟器开发日志