桌面程序处理输入的" ' "

以前在写webform的时候知道要对用户输入的一些字符进行处理,防止注入漏洞,例如把变量加入到sqlparameter里面

现在开始写桌面程序,本以为程序的bug基本上都解决了,然后拿测试用例一试,傻眼了,在要存入数据库的文本框中输入“ ’ ”或者“~!@#$%^&*()_+`1234567890-={}|[]\;':",./<>?|\”,悲剧了,报错

桌面程序处理输入的" ' "

回过头来想一想,如果在一个连接数据库input中拼接sql,那同样会把数据库的一些资料甚至数据库的权限暴露出来,看样子,程序员在写程序的时候还是要多思考,多总结,并能举一反三

后来查了下资料,只要在输入信息的地方对输入的信息做下修改,把"'"替换为" ‘"就可以了!!!

你可能感兴趣的:(程序)