如题,最近在搭网络应用的时候注意到安全问题
SQL 用了很长时间了,但对原理说实话不太懂,都是直接调用别人写好的语言链接库做读写,相信绝大部分人都跟我一样。
我之前一直以为防止 sql 注入很简单,在 sql 语句里使用预编译,加入%s,之后再以参数形式输入数据就可以高枕无忧了。但是似乎有模糊的印象之前看过谁写的东西说这么搞不行,%s 也不代表预编译。
昨天想到的一个问题是,那么如果用 orm 的话是否就可以代表着百分百防范 sql 注入?毕竟你输入的内容,比如"1==1"之类的是作为字符串传入 orm 系统的,应该不会被解释器执行吧。
各位怎么看?
Select Language