预编译sql能完全防止注入吗?有哪些句子不能被防止?

黑香蕉 发布于 2016/08/27 15:51
阅读 1K+
收藏 0
SQL
加载中
1
blur
blur
如果不是数据库prepare引擎出了bug,prepare sql可以100%防注入。
blur
blur
回复 @曹正辉 : 预编译是数据库将一条sql解析成query plan, 并代入bound parameters。是每一个数据库都应当有的功能。
曹正辉
mysql服务器没有预编译
0
Leaybc
Leaybc
其实。。。你是想知道后面那个问题的答案吧
0
554330833a
554330833a
有哪些的呢?
0
xpbob
xpbob
只要是用字符串拼接的都能被注入你用到like等等,好像是防止不了的
-1
jQer
jQer
防注入简单的事情,还要牵扯到编译,把注视符、无效符转码,变成非有效 sql 符号就完事了
Feng_Yu
Feng_Yu
参数化查询岂不是更合理?
返回顶部
顶部