防注入函数有没必要过滤字段名?
来源:百度知道 编辑:UC知道 时间:2024/07/08 01:56:24
防注入函数有没必要过滤字段名?
可以不过滤!
但是如果要构成SQL命令,那么只要过滤:
‘ ;& * ( ) [ ] { }
就行了
要,注入就是要知道你的字段名,需要猜解你的字段名才能进行注入,所以有必要过滤之。
没有这个必要,只要过滤掉危险字符就好了,你想这些危险字符无法起作用了,即使知道字段名又能怎样。。。
UC知道是一部内容开放、自由的互动网络百科全书
客观、专业、权威的知识性百科全书
来源:百度知道 编辑:UC知道 时间:2024/07/08 01:56:24
可以不过滤!
但是如果要构成SQL命令,那么只要过滤:
‘ ;& * ( ) [ ] { }
就行了
要,注入就是要知道你的字段名,需要猜解你的字段名才能进行注入,所以有必要过滤之。
没有这个必要,只要过滤掉危险字符就好了,你想这些危险字符无法起作用了,即使知道字段名又能怎样。。。