Access911.net   |   a9BBS   |   OTaA System  
  搜索文章:  
Access911欢迎您光临  
   主页      上传      繁體版       论坛     
设为首页  |  加入收藏   
  
你现在的位置:文章索引 -> 文章分类 -> ASP/ASP.NET  
 首页|  近日更新|  下载  |  文章索引  |  搜索|  术语|  承接工程|  
 
系统正在加载内容,请耐心等待...
 
 查询
 窗体
 报表
 
 
 VBA
 函数
 ADO/DAO/ADO.NET
 API
 ADP
 安全
 发布
 OA
 ASP/ASP.NET
 其他语言
 控件
 DELPHI
 C#/.Net
 本站
 其他
 小例程
 常用软件
 参考文档
 业主作品
 网友大作
 
 
友情链接
 access911.net
 
访问人次
 1701893
 
站长 E-Mail
 net911@sina.com
 access911@gmail.com
 
RSS 订阅

显示附加信息 >>>

简单方案:Ado本身也能防SQL漏洞。

作者:cg1  摘自:access911.net  :cg1  更新日期:2008-11-3  浏览人次:

 

问题:

access 如何防止 SQL 注入?
dim strsql
strsql="select * from a where field like '%" & replace(request.from("v1"),"'","''") & "%'"


上述应该是常见答案吧?
看到 PHP 中组织 SQL 时常用 ? 问号来进行参数输入,但是 JET SQL / ASP 中很少有人用,试验了一下,也完全可以的,何必再自己建 SQL 参数检测的类呢?

 

回答:


请直接下载源代码示例:
http://access911.net/down/eg/eg_sqlinasp.rar
(14KB)

'===========================================================
' 过程及函数名:  Test_InAccess
' 版本号      :  --
' 说明        :  本过程只用于演示关于问号在Jet SQL 中是如何
'                 起占位符作用以提供参数的。
' 引用        :  --
' 输入参数    :  --
' 输出值      :  --
' 返回值      :  --
' 调用演示    :  Test_InAccess
' 最后修改日期:  2008-11-3 16:36:00
' 示例地址    :  http://access911.net/?kbid;72FABF1E12DCEFF3
' 作者        :  cg1
' 网站        :  http://access911.net
' 电子邮件    :  access911@gmail.com
' 版权        :  作者保留一切权力,
'                 请在公布本代码时将本段说明一起公布,谢谢!
'===========================================================

Function Test_InAccess()

    Dim strSql As String
    strSql = "select * from tblsysoutlkbar where username like ? or clsname = ?"
    Dim rs As New ADODB.Recordset
    Dim cmd As New ADODB.Command
    cmd.CommandText = strSql
    cmd.CommandType = adCmdText
    Set cmd.ActiveConnection = CurrentProject.Connection
    cmd.Parameters.Append cmd.CreateParameter("a", adVarChar, adParamInput, 50, "a union select * from tblsysoutlkbar")
    cmd.Parameters.Append cmd.CreateParameter("dad", adVarChar, adParamInput, 50, "系统管理")
    Set rs = cmd.Execute()
    Do Until rs.EOF
        Debug.Print rs(1)
        rs.MoveNext
    Loop
    
End Function

Function Test_InAsp()
    Dim strSql
    strSql = "select * from tblAdmin where username like ? or clsname = ?"
    Dim rs
    Set rs = Server.CreateObject("ADODB.Recordset")
    Dim cmd
    Set cmd = Server.CreateObject("Adodb.Command")
    cmd.CommandText = strSql
    cmd.CommandType = 1     'adCmdText
    Set cmd.ActiveConnection = Conn     'Conn是一个已经Open的ADODB.Connection对象。
    'adVarChar = 200
    'adParamInput = 1

    cmd.Parameters.Append cmd.CreateParameter("a", 200, _
                                            1, 50, _
                                            "a union select * from tblAdmin")
    cmd.Parameters.Append cmd.CreateParameter("dad", 200, 1, 50, "系统管理")
    Set rs = cmd.Execute()
    Do Until rs.EOF
        Response.write Server.htmlencode(rs(0))
        rs.MoveNext
    Loop

End Function



 


本站文章旨在为该问题提供解决思路及关键性代码,并不能完成应该由网友自己完成的所有工作,请网友在仔细看文章并理解思路的基础上举一反三、灵活运用。

access911.net 原创文章,作者本人对文章保留一切权利。
如需转载必须征得作者同意并注明本站链接

 

 
相关文章
     没有手动相关文章
 
评论
     查看或发表更多的评论,请单击这里。
 
 
 
 
 
   
  Access911.net   |   a9BBS   |   OTaA System   |
建站日期:2000年4月2日  |  设计施工:陈格 ( access911 & cg1 )
 Copyright © 2000 - 2003 COMET, 陈格 保留所有权利