0

美元报价是否足以防止 SQL 注入等恶意输入?

例如:

SELECT * FROM mytable WHERE title = $secret$ hack'-- $secret$

用户输入在哪里

hack'--
4

1 回答 1

1

不,当然不是,因为黑客可以输入一个包含$secret$.

你的建议被称为“默默无闻的安全”,并在安全专家中受到不尊重。例如,它根本不适用于开源软件。

幸运的是,PostgreSQL 和所有相关 API 都具有使 SQL 语句的安全构造变得简单的功能。

于 2021-08-21T09:15:27.130 回答