我刚刚读到这个问题,当时我想知道构建查询应该有多复杂。
到目前为止,我只是使用StringBuilder构建了一个String,因为在这个应用程序中只使用了select、update、insert和delete。现在我也在想正确的转义,当我问自己,为什么转义不仅仅是转义那些符号'
到这个'
。
逃跑背后是否有更复杂的行为,或者这会是完整的吗?
感谢您的投入!
字符串构建的SQL是个坏主意,因为它会使您容易受到SQL注入攻击。
如果可以将查询放入存储过程并参数化输入值。
有关SQL注入攻击以及如何防止攻击的信息,请参阅Open Web Application Security Project网站:
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet