我是否可以通過轉(zhuǎn)義單引號和用單引號包圍用戶輸入來防止SQL注入？我意識到，在構(gòu)建包含用戶輸入的查詢時，參數(shù)化SQL查詢是對用戶輸入進行清理的最佳方法，但我想知道接受用戶輸入和轉(zhuǎn)義任何單引號并用單引號包圍整個字符串有什么問題。下面是代碼：sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'"用戶輸入的任何單引號都將替換為雙引號，這將消除用戶結(jié)束字符串的能力，因此他們可能鍵入的任何其他內(nèi)容(如分號、百分比符號等)都將是字符串的一部分，而不是作為命令的一部分實際執(zhí)行。我們使用的是MicrosoftSQLServer 2000，我認為單引號是唯一的字符串分隔符，也是轉(zhuǎn)義字符串分隔符的唯一方法，因此無法執(zhí)行用戶鍵入的任何內(nèi)容。我看不出有什么方法可以針對這種情況發(fā)起SQL注入攻擊，但我意識到，如果這像我所認為的那樣防彈，其他人就會想到這一點，這將是一種常見的做法。這個密碼怎么了？是否有辦法使SQL注入攻擊超過這種消毒技術(shù)？使用此技術(shù)的示例用戶輸入將非常有用。最新情況：我仍然不知道如何有效地針對這段代碼發(fā)起SQL注入攻擊。有幾個人建議反斜杠會轉(zhuǎn)義一個單引號，讓另一個單引號結(jié)束字符串，以便字符串的其余部分作為SQL命令的一部分執(zhí)行，我意識到這個方法可以將SQL注入MySQL數(shù)據(jù)庫，但是在SQL Server 2000中，我能夠找到的唯一方法是用另一個單引號來轉(zhuǎn)義單引號；反斜杠不能做到這一點。而且，除非有一種方法來停止轉(zhuǎn)義單引號，否則將不會執(zhí)行其余的用戶輸入，因為它都將被視為一個連續(xù)字符串。我知道有更好的方法來消毒輸入，但我更感興趣的是學習為什么我提供的方法不能工作。如果有人知道針對這種消毒方法進行SQL注入攻擊的任何具體方法，我很樂意看到它。