oracle是数据库,不做这个事的,SQL注入是应用,也就是我们的程序要防止的。
郧西网站建设公司创新互联公司,郧西网站设计制作,有大型网站制作公司丰富经验。已为郧西上千家提供企业网站建设服务。企业网站搭建\成都外贸网站建设公司要多少钱,请找那个售后服务好的郧西做网站的公司定做!
简单地说,我们的程序中不要用简单的sql直接拼接从前台传递的参数。
执行 update tab where ...... 时, 执行完后, 还要点\\“提交”\r\n你都没执行完就中断了,没有点 \\“提交”按纽的机会,\r\n当然没提交了。\r\n注意,不要在生产系统上测试,哈哈
思想就有问题,不是不能用分号,是将分号转义就行了。自己的程序,完全可以自定义一套允许规则出来,或者作一个允许的接口。如果是想注入攻击别人,那么这很不道德了,再说攻击也不仅仅是注入攻击。
如果用command的参数执行就没用了,如果是sql语句用字串连起来的话,可能有效。