参数防止Sql注入的使用问题

李学明

+if(@organids=null,"","and a.F_SUBMIT_ORG_ID in ("+tostr("'"+parting(tostr(@organids),',')+"'")+")")
改为
+if(@organids=null,"","and a.F_SUBMIT_ORG_ID in ("+tostr("'"+parting(tostr(?),',')+"'")+")")
问号的这种写法好像是按照参数的顺序来的吧，如果多个地方使用，需要怎么写呢？

admin

这种的没法用PreparedStatement的方式，只能用拼接sql字符串的方式。
要防止sql注入有2种办法，一种办法是：自己写代码对输入的参数做前后检查，另外一种：统一做一个参数过滤检查的filter。另外，如果用的皕杰6.1版本的话，这个版本中提供一个XSS过滤器，可以过滤参数中的非法字符。