ASP+Access防SQL注入的一点疑问
ASP+Access防SQL注入,网上主要有两个方法:
一是检查参数类型,数值型直接判断是否是数字,字符型把一个单引号替换两个单引号;
二是过滤掉相关关键词,如select、update、delete from等。
我的疑问是,既然第一种方法可行的话,为什么还有那么多人推荐第二种效率降低的方法?还会误杀一些英文输入?
谁能帮我确认一下,只用方法一是否足够?谢谢!
[解决办法]
第一种方法就行了,
第二种方法是多此一举,
而且很可能把有用的信息都过滤掉。
