sql 防止注入，用 base64 对用户输入内容进行预处理，是否可行？

666
仔细一想，别说还真行。索引也有，like 查询其实也行
除了存储大小会变大点

可以，但是意义不大。

使用现有的 sql 参数化方法比自己想办法造轮子有效得多

你怕是对 SQL 注入的理解有误。

抱歉，貌似确实能起到类似转义的作用。

如果是数据库所有字段都是 b64 编码内容，那么是可以的
比如拼接 sql 查询时 select * from users where uname = '{param}'，b64 可以保证不会闭合掉前面的单引号，但这么麻烦为什么不直接参数化 sql 语句呢

楼主是想防止二次 SQL 注入吗。。

其实是可以的。只要没有 like 查询。其实就是利用 b64 字符集没有比较危险的那几个特殊字符。怎么这么多人死活不理解别人的中文呢

但是，现在一个 prepared statement 能解决的问题没必要那么复杂

@mostkia 可以的

是可以的，楼上很多人怕是对注入有误解

直接参数化比较好吧

一般 orm 都做掉了，自己弄这个 真的是蛋疼

以我的经验来看，sql 注入的问题有直接的解决方案，就用这个方案。用编码这种间接的，中间多了一层数据转换逻辑，扩展性和其它关联影响是很大的隐患，特别是多人开发的团队中

我看你是不知道 SQL 可以传参数吧。

数据库存了 base64 后的数据，你查询 like 怎么搞？
查出来的数据都要解码显示，性能行不行？

内容编码入库是常用的，但依赖这种方式防注入也太低级了

你的意思是查询字符串只允许是 base64 的字符集里的，包含其他的字符就不放进去查询？？？

其实在做软件工程的时候，我们经常会遇到一个问题就是：业内通常怎么做。你说的方法也可以，但是不利于后期业务数据分析处理。方法可行，但业内不这么做，肯定是有它的道理。

给我的感觉就是放着圆的轮子不用，要造一个方的轮子。
直接用现有的 sql 防注入方案就行了

可以肯定可以，但是我只想问问，ID 系列的你怎么处理，难不成整个自增 ID 你都用 BASE64 吧？