![](https://iknow-base.cdn.bcebos.com/lxb/notice.png)
用户名密码防注入sql代码
普通查找用户一般就这样写了,select*frombusinessUserwhereuserName='"+name+"'anduserPwd='"+pwd+"'但是经理...
普通查找用户一般就这样写了,
select * from businessUser where userName='"+name+"'and userPwd='"+pwd+"'
但是经理说先在sql里就要防止sql注入一次。具体说什么不能select * from 而是什么select name 神马云云,这个sql 到底该怎么写呢 ?谢谢。 展开
select * from businessUser where userName='"+name+"'and userPwd='"+pwd+"'
但是经理说先在sql里就要防止sql注入一次。具体说什么不能select * from 而是什么select name 神马云云,这个sql 到底该怎么写呢 ?谢谢。 展开
2个回答
展开全部
Sql这样写是没有问题的,,关键在于,你的name变量和pwd变型岩凯卜唤量存在风险,
把这两个变量或者是拼接好的sql进行一次枣扒" ' "(半角单引号)替换就相对安全多了
把这两个变量或者是拼接好的sql进行一次枣扒" ' "(半角单引号)替换就相对安全多了
追问
经理非要改这个sql,又没搞懂他老人家什么意思啊。怎么改呢?
追答
select * from 会一次查询出全部字段,,
首先效率上有欠缺,因为查询出了很多无用的字段,
而select name 只查询name一个字段,没有冗余数据,效率上有提升,对于效验登陆完全够用了。甚至可以把name换成1 ,检测返回的行数是否大于1进行效验
其次还容易暴露数据库结构,如果被不小心sql注入,而你又写了展示字段代码的话.............
其实你们经理也就想喊你“把这两个变量或者是拼接好的sql进行一次" ' "(半角单引号)替换”
2012-08-21
展开全部
select name 是查询name这个字段,而仿搏肢select * 是查询所有字段的内容。
sql防注入是网络安全知识,你要搜索和学习相关的内容备世才行。银念
sql防注入是网络安全知识,你要搜索和学习相关的内容备世才行。银念
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询