现在的开发中基本上不用考虑这个问题啦,一般的ORM都帮你解决好啦。
如果有想自己动手写的,一般使用参数转值方式来解决,因些些类问题在开发中很少出现
但是在某些特殊情况下,必须得使用拼SQL的方式实现。因而就不可避免的要注意SQL防注入式攻击的问题
一般考虑如下
因为SQL文中常用的无非就是:字符串和数字、日期型几种。
对数字:在拼接之前,先检查是不是数字,不是就报错。
对字符串:只要把SQL中的单引号替换成两个就OK了,如果SQL中有LIKE字句,那么还要把%替换成\%,_替换成\_ 。其它的字符都不用替换了
日期型:象字符型一样处理也行,但是SQL执行会报错,最好拼接前判断一下。