2009年04月01日
----解决方案--------------------------------------------------------过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement.. ------解决方案--------------------------------------------------------注入的方式就是在查询条件里加入SQL字符串. 可以检查一下提交的查询参数里是否包含SQL,但通常这样无益.最好的办法是不要用拼接SQL字符串,可以用prep