关于SQL注入

[已解决问题] 解决于 2009-08-26 16:37

为了防止SQL注入,我在客户端用JS做了判断

function checksql(str)
{
var tszf = /<|>|<script>|drop|update|insert|alert|or/;
if(tszf.test(str))
return false;
else return true;
}

我是为了减轻服务器的压力把验证写在JS里.

使用上面的方法能够使文本框禁止输入一些SQL关键字,

这样做究竟安全吗?

有的黑客高手能够跳过JS验证吗?

网站开发 Javascript

Yuanet | 初学一级 | 园豆：32
提问于：2009-08-26 15:32

< >

最佳答案

这是绝对绝对不可靠的，web编程就有一句话“永远不要相信用户提交的数据”，客户端的验证及其不可靠的

简单的firebug就能搞定你这个验证，不说修改数据包这种高级方法了，所以服务端在带入查询之前是一定要进行安全过滤的，这也没有多少服务器开销呀

gently | 菜鸟二级 |园豆：225 | 2009-08-26 16:02

其他回答(3)

尽量在服务器中判断，可以使用以下方式

1、使用参数对象

2、使用存储过程

3、过滤特殊符号

不要太多相信客户提交的数据

Fencer | 园豆：7 (初学一级) | 2009-08-26 16:08

个人认为防止SQL注入有以下三种方法
1、过滤敏感字符
2、在ASP.Net中使用SqlParameters
3、用存储过程

sl2008 | 园豆：407 (菜鸟二级) | 2009-08-26 16:12

在ASP.Net中使用SqlParameters

我的数据库操作都是用SqlParameters ,可有时候还是会被注入

叶子绿了 | 园豆：50 (初学一级) | 2009-08-26 16:34

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。