极客观点
项目管理
HarmonyOS
假设用的开发语言、数据库都是当前最新版。比如伪代码:
name=UserInput("name").replace("'","''")
sql="select * from table where name='"+name+"'"
db_exec(sql)已经将用户输入的name字符串中的'替换成了'',最新版的oracle、mysql、sql server还有可能被用户输入的这个字符串注入的风险吗?
把用户输入的一个字符串里面的 ' 换成了''拼接到sql语句里面,新版、现代、主流的关系型数据库还会有被此字符串注入的可能吗?
mysql阅读 1.8k
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
我们知道MySQL字段可以存放纯文本,但是富文本有图片,有标题样式等情况,一般是怎么进行存储的呢?
有一个需求:想要进行富文本进行描述。但是我们想要使用关系型数据库MySQL存储这个描述文件,请问一般的解决方法是什么样的呢?举例:富文本编辑器lexical我们知道MySQL字段可以存放纯文本,但是有图片,有标题样式等情况,一般是怎么进行存储的呢?5 回答3.3k 阅读✓ 已解决
如何在SpringBoot/MySQL事务中并行执行多条SQL?
SpringBoot/MySQL 相关问题向大佬们请教一个问题,一个事务中要执行多条SQL,比如下单场景,扣减账户余额、修改商品库存、生成流水记录、生成发货记录等操作,假设这些操作比较耗时,有没有什么方法可以让这些SQL在一个事务中并行执行提高性能。3 回答3.6k 阅读✓ 已解决
请问,如下我们在定义Link表的时候,是否是只能定义为4个字段?
定义关系型数据库表的时候,遇到一个疑问: {代码...} 请问,我们在定义Link表的时候,是否是只能定义为4个字段? {代码...}2 回答2.8k 阅读✓ 已解决
(10元)为什么UTF8的TXT文件存入SQLite后大小增加近三倍?
为什么我的一个txt文件大小是600MB(utf8),其中全部为英文单词和符号(一篇篇英文文章)。我将每一个词一行存入sqlite中(TEXT)后,大小为1.5GB,大了近三倍?有没有办法做到跟原文件差不多大小。1 回答2.4k 阅读✓ 已解决
多表联查统计条数的SQL如何写?
举例如下,查询一个关联A,B,C三个表的数据,统计满足下面条件的总和(比如 count,sum),如何写? {代码...}1 回答2.3k 阅读✓ 已解决
上面的sql通过login_time排序但是结果不对?
上面的sql通过login_time排序但是结果不对?login_time类型是DATETIME5 回答1.4k 阅读
dbeaver 的 「使用 ssh 隧道」和「跳转服务器设置」有什么区别?
3 回答1.2k 阅读✓ 已解决
只要最终的sql包含合理的sql,就会被执行。避免注入似乎不应该仅仅是数据库的问题,而是应该在应用层就避免。