小蜗牛 发表于 2022-4-23 17:48 没办法,C/S结构, 把所有数据分开传递回去的话,功能多了之后,工作量太大了.我是写了一个中间件,发给服务器去提交. 客户端不是完全拼接成sql,是拼接部分. 比如 cha询条件就拼一个 字段1='aaa',ID=100 ,到服务器之后再二次分割,拼接. 在服务器二次过滤非法字符 |
Fang0x378 发表于 2022-4-23 16:39 sql永远不要让客户端拼接... |
|
本帖最后由 Fang0x378 于 2022-4-23 17:30 编辑 测试了一下,循环1000次,一个用子文本替换和文本查找,一个用正则,还是文本操作快一点,正则匹配要慢一点.循环100次看不出来明显差别. |
小蜗牛 发表于 2022-4-23 16:12 客户端拼装了部分sql语句,然后服务器去执行. 部分语句在拼装的时候就加上了' .防注入处理' 就行了?这么简单吗? |
|
防止SQL注入..不是这样弄的... 把 ' 转义一下就可以了 |
|Archiver|手机版|小黑屋|递归火山软件开发平台
( 鄂ICP备18029190号 )
GMT+8, 2024-11-25 01:54 , Processed in 0.090431 second(s), 23 queries .
Powered by Discuz! X3.4
© 2001-2017 Comsenz Inc.
组图打开中,请稍候......
分享
收藏