由于SQL注入导致进入数据库驱动的Web开发感到紧张[重复]

Possible Duplicates:
What is SQL injection?
In PHP when submitting strings to the DB should I take care of illegal characters using htmlspecialchars() or use regex?

I really need someone to clearly explain how to handle hackers and if it's really as complicated as it sounds.

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
duanjiati1755 2011-04-16 08:00
关注
The basic thing to do about sql injection is to use parameters in your queries.

So, this is BAD, and could be used for injecting hackers's sql:

mySqlCommand.Text = "select * from mytable where FirstName = " + tbox.Text;

Do it this way:

mySqlCommand.Parameters.Add("@FirstName", tbox.Text) mySqlCommand.Text = "select * from mytable where FirstName = @FirstName";

Note: I used "pseudo code". I Don't know php or mysql, but the same principle should apply.
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

在sql中多大的数据才算是大数据？ java mysql 数据库
2022-03-31 17:24

回答 5 已采纳其实没有实际的标准明确定义多少数据量算大数据，不过阿里开发手册中建议，表数据超过500万条时，建议考虑分表，以防影响查询效率，不过我们公司也有单表超过几千万条的数据，效率确实不高，所以理论上百万级别以
eclipse Java链接SQL server 驱动加载成功但数据库无法连接 eclipse java sql
2019-01-09 21:10

回答 2 已采纳 https://blog.csdn.net/hadues/article/details/79188793
Java连接数据库，成功加载SQL驱动程序，但数据库连接失败
2015-01-05 08:28

回答 5 已采纳 DatabanseName写错了，应该是**DatabaseName**
教你们如何从根本上防止 SQL 注入的
2022-03-07 14:48

动作缓慢的程序猿的博客在Web发展初期，随着动态脚本语言的发展和普及，以及早期工程师对安全问题认知不足导致很多”安全血案”的发生，至今仍然遗留下许多历史问题，比如PHP语言至今仍然无法从语言本身杜绝「文件包含漏洞」（参见这里），...
sql 数据库分离后数据库消失全盘搜索也没有 sql 数据库
2017-06-06 07:20

回答 1 已采纳 A)一个数据库的多个文件可以在不同的盘符/路径下，你分离前不记下来？所有盘搜索 *.ndf、*.ldf、*.ndx 文件吧。 B)SQL Server 是可以用原始分区（未格式化的硬盘分区）直接创建
SQL语句中关于连接的问题 sql 数据库开发
2021-08-20 10:34

回答 2 已采纳 left join的场景罢了，第二种如果是条件不符合的，数据直接查不出来，第一种，left join的条件不成立，主表（score表）的数据还在，所以最终的结果是第一种的数据量>=第二种的数据量
SQLserver怎么插入或更新当天的星期数，bit而不是文本 sql 数据库数据库开发
2022-04-16 20:59

回答 1 已采纳你这个问题是不能实现的 SQLServer bit类型只能存储 0 1 null 无法实现星期数的存储。如果要获取星期几的话可以用下面的语句 --设置数据库的语言为中文 SET LANGUA
c#sql防注入模糊查询_c#模糊查询数据库
2020-12-23 00:08

灰机GAME的博客文章桃子红了呐 2016-10-30 482浏览量 SQL注入测试平台 SQLol -6.CHALLENGES挑战 SQLol上面的挑战共有14关，接下来我们一关一关来突破。 Challenge 0 目的是让查询返回所有的用户名，而不是只有一个。 SELECT ...
web已连接oracle数据库但是无法进入验证 oracle 数据库
2016-12-26 21:00

回答 6 已采纳出什么错？能否把错误贴出来
oracle sql developer 连接数据库 测试失败报错如图 oracle sql 数据库
2017-03-06 09:43

回答 2 已采纳解决了，Sid是数据库实例名应该写成我自己默认的ORCL
SQLServer MYSQL Oracle 数据库怎么查看密码策略？ mysql oracle sql
2019-07-18 16:51

回答 1 已采纳 数据库貌似没有密码策略一般都是在后台或者前台使用MD5加密加密完存到数据库中吧
关系型数据库与SQL
2023-05-21 00:34

Zinstein_的博客通过阅读本文，您将全面了解关系型数据库与SQL的重要性和应用，掌握SQL语言的基本概念与语法结构，学习数据库设计与优化的关键原则和技巧，探索实践中高效的SQL查询编写、数据库备份与恢复、性能调优和安全管理等...
sql server2017缺少数据库关系图这个选项 sql
2018-10-22 14:13

回答 3 已采纳 SSMS 18 移除了数据库关系图参见官方文档 https://docs.microsoft.com/en-us/sql/ssms/sql-server-management-studi
飞企互联-FE企业运营管理平台 videotexMonitor SQL注入漏洞复现
2024-01-31 00:00

0xSecl的博客飞企互联-FE企业运营管理平台 videotexMonitor接口存在SQL注入漏洞，未经授权攻击者可通过该漏洞获取数据库敏感信息，进一步利用可获取服务器权限，导致网站处于极度不安全状态。
【数据库06】web应用程序开发的任督二脉
2022-11-07 12:33

半旧518的博客介绍刚学完SQL怎么快速上手web开发，帮你从顶层设计开始打通web开发的任督二脉
没有解决我的问题, 去提问

悬赏问题

¥15 2020长安杯与连接网探
¥15 关于#matlab#的问题：在模糊控制器中选出线路信息，在simulink中根据线路信息生成速度时间目标曲线（初速度为20m/s，15秒后减为0的速度时间图像）我想问线路信息是什么
¥15 banner广告展示设置多少时间不怎么会消耗用户价值
¥16 mybatis的代理对象无法通过@Autowired装填
¥15 可见光定位matlab仿真
¥15 arduino 四自由度机械臂
¥15 wordpress 产品图片 GIF 没法显示
¥15 求三国群英传pl国战时间的修改方法
¥15 matlab代码代写，需写出详细代码，代价私
¥15 ROS系统搭建请教（跨境电商用途）

由于SQL注入导致进入数据库驱动的Web开发感到紧张[重复]

3条回答 默认 最新

悬赏问题

3条回答默认最新