项目中有完善的防sql注入,但是页面有些地方提交的关键词里面包含了and ,要怎么去解决。
但是直接在js里面去替换肯定是不行的,后台替换掉,然后前台显示又会有问题。怎么破
前台提交的不都是参数么,咋还会有and这类的,不行就后台给传进来的自己数据处理一下再dao
参数是从别的服务器上面获取到的,还需要保存在本地数据库
用存储过程来写入数据或者sql语句参数化来操作数据库,而不是构造sql语句
或者替换单引号为它的实体
'
或者对应的转义字符''就可以防止大部分的注入
没看懂为什么提交的时候有and 和or?你们提交不是一个能访问的链接吗?