㈠ 過濾單引號後是否sql注入就無解了
也不能這樣說,要過濾的內容很多,如注釋 -- ,exec delete select update 基本的都要過濾,但這不是回治本的,答如果16進制攻擊也會出問題。
最好的辦法就是使用參數方式來處理SQL,絕不要拼字元
16進制:
http://www.cnblogs.com/liyongfisher/archive/2010/12/20/1911432.html
參數化處理:
http://www.cnblogs.com/lzrabbit/archive/2012/04/21/2460978.html
㈡ 如果所有關鍵字都過濾就可以防止SQL注入了么
如果所來有關鍵字都過濾,確自實可以。既然沒有關鍵字,那麼傳入的參數只是個字元串,沒有其他的效果了。
但是,這是不可能的,有些時候你不得不用到一些關鍵字,比如密碼[這裡面肯定會含有特殊字元的]
建議:採用參數化的賦值方式
我們實際做的是盡可能避免參數注入,絕對安全的程序是不存在的,只有盡可能的安全。
㈢ 防sql注入到底應過濾哪些字元
一般來說,這樣處理即可:
所有參數都當作字元串處理,用單引號括起來。另外就是要把字元串中的單引號替換掉。