1. C++ 在登入的地方防止sql注入的方法。
C++里有sprintf,类似于C#的帆键format,如果是VC的话,也是有一个Format函数的。
至于在开发中是怎样防止SQL注入态含巧?
1.不要去构造SQL查询语句,不管是程序中或者存储过程中.
2.即使要构造SQL语句,一定将string数据中的每一个单引号替换成两个
3.是用较低权限的角色登陆SQL Server,不要一上来就sa
4.再进行数据库添加记录操作的时候,尽量用参数形式进行添加,最完美是用存储过程,用参数添老缓加是最好的
2. 有没有类似string.format()这样的sql函数
额 针对sql语句
比如sql="select*from student where studentNo=@studentno "
SqlParameter para=new SqlParameter(“@studentno”,你要替换的值);
这样对sql语句也有String.format()的效果,还可以防止注入攻击
3. C#中String.Format可以防止sql注入吗
不能,要防止sql注入有2种方案:
过滤替换掉所有的非法字符
使用参数化方式