对mssql的‘单引号进行转义后’‘两个双引号的方式,还可以sql注入吗?

铂金小猪猪 发布于 2012/02/22 09:43
阅读 2K+
收藏 0
如题
加载中
0
红薯
红薯

对于任何数据库,查询中的任何参数都应该使用动态绑定方式,例如

SELECT * FROM osc_users WHERE name = ?
坚持这个,SQL注入就无从下手
onse
onse
这样为什么就不能下手呢?
RickyFeng
RickyFeng
pdo ?
返回顶部
顶部