order by后为什么不能参数化原因

注:sql注入的防御手段主要为预编译,但是预编译对orderby,表名、列名都不生效,所以在orderby的位置测试sql注入往往成功率比较高,原因参考下面文章,这里给出结论"order by后不能参数化的本质是:一方面预编译又只有自动加引号的setString()方法,没有不加引号的方法;而另一方面order by后接的字段名不能有引号。"

感兴趣的可以看完整的分析文章SQL预编译中order by后为什么不能参数化原因 - 诸子流 - 博客园

你可能感兴趣的:(安全,安全)