我有一個名爲Description
的字段的jsp表單。聲明爲這個字段如下一個jsp表格的字段驗證
<input type="text" name="description">
用來組成SQL查詢此值:
SELECT * FROM發動機,其中描述LIKE '%(從場值)%'
當用戶輸入的字母數字字符可以正常工作,但用戶輸入特殊字符時會失敗,如單引號:'
我的q uestions:
- 我該如何處理這個在服務器端
- 如果有必要的JavaScript來實現,那麼已經被過濾什麼字呢?
謝謝。
最終用戶可以完全控制JavaScript代碼。所以絕對不要在JavaScript中進行這種轉義。在服務器端使用'PreparedStatement'。無論你使用什麼框架都不支持它,責怪它的作者。這是一個**巨大的**設計錯誤,因爲它使得SQL注入攻擊面臨大門。 – BalusC 2012-04-26 14:24:51