peniy 2008-08-29 10:27
浏览 721
已采纳

问个 LIKE 语句sql注入的处理

场景是做个对数据库A表字段CONTENT的模糊查询。
语句类似:
PreparedStatement stmt = conn.prepareStatement("select * from A where CONTENT like ? ");
String searchString = "aa";//匹配内容
stmt.setString(1,"%" + searchString + "%");

这个语句匹配包含searchString 为"aa"内容的数据,但如果传入的不是 "aa",而含特殊的符号如 "%",
就可查询出来所有的数据。

一个解决的办法是将语句改为:"select * from A where CONTENT like ? ESCAPE '\'"
然后再对searchString进行一下预处理(在"%:","_","\" 字符前附加"\").

感觉这个方法还是比较拖沓,而且本质上还是需要程序去转义sql,而不是依赖数据库本身来处理.

不知各位有什么比较好的处理方法?

  • 写回答

2条回答

  • lijie250 2008-08-29 13:26
    关注

    数据库一般不提供转义功能,只有在由开发语言处理!GOOGLE搜索都把那些特殊字符过滤了!

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

悬赏问题

  • ¥15 执行 virtuoso 命令后,界面没有,cadence 启动不起来
  • ¥50 comfyui下连接animatediff节点生成视频质量非常差的原因
  • ¥20 有关区间dp的问题求解
  • ¥15 多电路系统共用电源的串扰问题
  • ¥15 slam rangenet++配置
  • ¥15 有没有研究水声通信方面的帮我改俩matlab代码
  • ¥15 ubuntu子系统密码忘记
  • ¥15 保护模式-系统加载-段寄存器
  • ¥15 电脑桌面设定一个区域禁止鼠标操作
  • ¥15 求NPF226060磁芯的详细资料