我们都知道参数化 SQL 是处理用户输入和动态 SQL 时的最佳方法,但是如果您要查找的输入是数字,从字符串转换为 int(或 double、long 或其他)是否有效?
我想我要问的是,仅此技术在 SQL 注入方面是否万无一失?
我不是专家,但我有理由相信这是安全的。
但为什么要抓住这个机会呢?使用参数化 SQL,您永远不需要担心它。
此外,参数化 SQL 还有其他优点,而不仅仅是注入保护。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)