如题所述
1、对传递过来的参数值段做过滤处理 包含sql操作关键字的干掉!当然这个要符合你的业务需求
2、不要对sql语句做拼接处理 可以用类似 jdbc中的preparestatement动态sql技术 生成sql
3、对传递进来的参数值做字符串转义 'sql do some' 让数据库把这段当成一段字符串处理 而不进行操作编译
2、不要对sql语句做拼接处理 可以用类似 jdbc中的preparestatement动态sql技术 生成sql
3、对传递进来的参数值做字符串转义 'sql do some' 让数据库把这段当成一段字符串处理 而不进行操作编译
温馨提示:答案为网友推荐,仅供参考
第1个回答 2014-04-23
楼上说-->【后台拼SQL】
我不这么觉得 一般来说 映射DAO 使用工厂new对象调用DAO这样还是比较安全的吧
(前提是有句俗话说:SQL语句不出DAO)
(个人观点)
如果感觉我回答的你还满意的话就把我采纳了吧
————————————————————————————————
我不这么觉得 一般来说 映射DAO 使用工厂new对象调用DAO这样还是比较安全的吧
(前提是有句俗话说:SQL语句不出DAO)
(个人观点)
如果感觉我回答的你还满意的话就把我采纳了吧
————————————————————————————————
第2个回答 2014-04-23
老话重谈,不要后台SQL拼接。用preparestatement
第3个回答 2014-04-23
常见就是使用参数的方法去执行语句