因為我只用 java 來寫過 database 的程式，所我只知道在 java 中的做法。 要避免 SQL injection 首先要做的，應該是要用 prepared statement 來處理 database 的操作，如果是用過濾的方式來做，一來還是很容易讓別人找出漏洞， 二來有時的確有需要輸入一些符號的情況（密碼之類的）。至少以我的觀念中， 除非像是有動態條件式的 sql 用 prepared statement 會有麻煩外，java 的 sql 程式 (jdbc) 應該都要用 prepared statement 進行才是。 不過我不知道其他的語言 (dao, php) 有沒有類似的機制？ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.62.106.24