因为我只用 java 来写过 database 的程式，所我只知道在 java 中的做法。 要避免 SQL injection 首先要做的，应该是要用 prepared statement 来处理 database 的操作，如果是用过滤的方式来做，一来还是很容易让别人找出漏洞， 二来有时的确有需要输入一些符号的情况（密码之类的）。至少以我的观念中， 除非像是有动态条件式的 sql 用 prepared statement 会有麻烦外，java 的 sql 程式 (jdbc) 应该都要用 prepared statement 进行才是。 不过我不知道其他的语言 (dao, php) 有没有类似的机制？ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.62.106.24