程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> ASP編程 >> ASP入門教程 >> ASP防SQL注入的方法

ASP防SQL注入的方法

編輯:ASP入門教程
前一篇我們介紹了一種防SQL注入的終極方法,也就是最原始、最簡單、最有效也是最通用的方法,就是數據類型的檢查加單引號的處理,具體的內容前面一篇已經介紹過了,這裡我就不重復了,下面我們將要介紹另一種在ASP裡防SQL注入攻擊的方法,該方法不僅僅在ASP裡適用,實際上可以在任何使用ADO 對象模型與數據庫交互的語言中,准確的說稱之為基於ADO對象模型的防SQL注入的方法或許更恰當些。好了廢話不說了,來看看代碼

  Dim conn,cmd,pra

  set conn=server.createobject("adodb.connection")

  conn.Open "…………" '這裡省略數據庫連接字

  set cmd=server.createobject("adodb.Command")

  set pra=server.createobject("adodb.Parameter")

  cmd.ActiveConnection = conn

  cmd.CommandText = "update news set title=? where id =?"

  cmd.CommandType = adCmdText

  Set pra = cmd.CreateParameter("title", adVarWChar, adParamInput, 50, "1'2'3")

  cmd.Parameters.Append pra

  Set pra = cmd.CreateParameter("id", adInteger, adParamInput, , 10)

  cmd.Parameters.Append pra

  cmd.Execute

  news表的id字段是Integer型的,title字段是nvarchar(50)型的,執行的結果是把news表中id字段為10的記錄的title字段的內容改成“1'2'3”

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved