我是否可以通過(guò)轉(zhuǎn)義單引號(hào)和用單引號(hào)包圍用戶(hù)輸入來(lái)防止SQL注入？我意識(shí)到，在構(gòu)建包含用戶(hù)輸入的查詢(xún)時(shí)，參數(shù)化SQL查詢(xún)是對(duì)用戶(hù)輸入進(jìn)行清理的最佳方法，但我想知道接受用戶(hù)輸入和轉(zhuǎn)義任何單引號(hào)并用單引號(hào)包圍整個(gè)字符串有什么問(wèn)題。下面是代碼：sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'"用戶(hù)輸入的任何單引號(hào)都將替換為雙引號(hào)，這將消除用戶(hù)結(jié)束字符串的能力，因此他們可能鍵入的任何其他內(nèi)容(如分號(hào)、百分比符號(hào)等)都將是字符串的一部分，而不是作為命令的一部分實(shí)際執(zhí)行。我們使用的是MicrosoftSQLServer 2000，我認(rèn)為單引號(hào)是唯一的字符串分隔符，也是轉(zhuǎn)義字符串分隔符的唯一方法，因此無(wú)法執(zhí)行用戶(hù)鍵入的任何內(nèi)容。我看不出有什么方法可以針對(duì)這種情況發(fā)起SQL注入攻擊，但我意識(shí)到，如果這像我所認(rèn)為的那樣防彈，其他人就會(huì)想到這一點(diǎn)，這將是一種常見(jiàn)的做法。這個(gè)密碼怎么了？是否有辦法使SQL注入攻擊超過(guò)這種消毒技術(shù)？使用此技術(shù)的示例用戶(hù)輸入將非常有用。最新情況：我仍然不知道如何有效地針對(duì)這段代碼發(fā)起SQL注入攻擊。有幾個(gè)人建議反斜杠會(huì)轉(zhuǎn)義一個(gè)單引號(hào)，讓另一個(gè)單引號(hào)結(jié)束字符串，以便字符串的其余部分作為SQL命令的一部分執(zhí)行，我意識(shí)到這個(gè)方法可以將SQL注入MySQL數(shù)據(jù)庫(kù)，但是在SQL Server 2000中，我能夠找到的唯一方法是用另一個(gè)單引號(hào)來(lái)轉(zhuǎn)義單引號(hào)；反斜杠不能做到這一點(diǎn)。而且，除非有一種方法來(lái)停止轉(zhuǎn)義單引號(hào)，否則將不會(huì)執(zhí)行其余的用戶(hù)輸入，因?yàn)樗紝⒈灰暈橐粋€(gè)連續(xù)字符串。我知道有更好的方法來(lái)消毒輸入，但我更感興趣的是學(xué)習(xí)為什么我提供的方法不能工作。如果有人知道針對(duì)這種消毒方法進(jìn)行SQL注入攻擊的任何具體方法，我很樂(lè)意看到它。