如果只允许输入英文+数字的情况,能否完美防止SQL注入?
用户输入的字符,只允许,大小写英文+数字. 且首位必须是英文.能否完美的防止sql注入的.
sql语句不就是英文么,条件里面where 1=1,注入的sql不都是这么写嘛? 框架已经帮你把所有的SQL转义了,所以说不要自己写SQL,用框架带的方法即可防止SQL注入 如果只输英文和数字确实可防目前的SQL注入,SQL注入的高危输入是引号、分号以及某些编码的多字节字符。
对特定字段这招可以用。但总不能所有字段都这种限制。你应该建立一个广谱的防SQL注入方法 没问题,防止SQL注入的方法不就是要转义特殊字符嘛,现在连特殊字符都输入不了了,把验证逻辑放后端那肯定没问题了。
页:
[1]