Access911.net   |   a9BBS   |   OTaA System  
  搜索文章︰  
Access911歡迎您光臨  
   主頁      上傳      简体版       論壇     
設為首頁  |  加入收藏   
  
你現在的位置︰文章索引 -> 文章分類 -> ASP/ASP.NET  
 首頁|  近日更新|  下載  |  文章索引  |  搜索|  朮語|  承接工程|  
 
系統正在加載內容,請耐心等待...
 
 查詢
 窗体
 報表
 
 
 VBA
 函數
 ADO/DAO/ADO.NET
 API
 ADP
 安全
 發布
 OA
 ASP/ASP.NET
 其他語言
 控件
 DELPHI
 C#/.Net
 本站
 其他
 小例程
 常用軟件
 參考文檔
 業主作品
 网友大作
 
 
友情鏈接
 access911.net
 
訪問人次
 1701893
 
站長 E-Mail
 net911@sina.com
 access911@gmail.com
 
RSS 訂閱

顯示附加信息 >>>

簡單方案︰Ado本身也能防SQL漏洞。

作者︰cg1  摘自︰access911.net  ︰cg1  更新日期︰2008-11-3  瀏覽人次︰

 

問題︰

access 如何防止 SQL 注入?
dim strsql
strsql="select * from a where field like '%" & replace(request.from("v1"),"'","''") & "%'"


上述應該是常見答案吧?
看到 PHP 中組織 SQL 時常用 ? 問號來進行參數輸入,但是 JET SQL / ASP 中很少有人用,試驗了一下,也完全可以的,何必再自己建 SQL 參數檢測的類呢?

 

回答︰


請直接下載源代碼示例︰
http://access911.net/down/eg/eg_sqlinasp.rar
(14KB)

'===========================================================
' 過程及函數名︰  Test_InAccess
' 版本號      ︰  --
' 說明        ︰  本過程只用于演示關于問號在Jet SQL 中是如何
'                 起占位符作用以提供參數的。
' 引用        ︰  --
' 輸入參數    ︰  --
' 輸出值      ︰  --
' 返回值      ︰  --
' 調用演示    ︰  Test_InAccess
' 最後修改日期︰  2008-11-3 16:36:00
' 示例地址    ︰  http://access911.net/?kbid;72FABF1E12DCEFF3
' 作者        ︰  cg1
' 网站        ︰  http://access911.net
' 電子郵件    ︰  access911@gmail.com
' 版權        ︰  作者保留一切權力,
'                 請在公布本代碼時將本段說明一起公布,謝謝﹗
'===========================================================

Function Test_InAccess()

    Dim strSql As String
    strSql = "select * from tblsysoutlkbar where username like ? or clsname = ?"
    Dim rs As New ADODB.Recordset
    Dim cmd As New ADODB.Command
    cmd.CommandText = strSql
    cmd.CommandType = adCmdText
    Set cmd.ActiveConnection = CurrentProject.Connection
    cmd.Parameters.Append cmd.CreateParameter("a", adVarChar, adParamInput, 50, "a union select * from tblsysoutlkbar")
    cmd.Parameters.Append cmd.CreateParameter("dad", adVarChar, adParamInput, 50, "系統管理")
    Set rs = cmd.Execute()
    Do Until rs.EOF
        Debug.Print rs(1)
        rs.MoveNext
    Loop
    
End Function

Function Test_InAsp()
    Dim strSql
    strSql = "select * from tblAdmin where username like ? or clsname = ?"
    Dim rs
    Set rs = Server.CreateObject("ADODB.Recordset")
    Dim cmd
    Set cmd = Server.CreateObject("Adodb.Command")
    cmd.CommandText = strSql
    cmd.CommandType = 1     'adCmdText
    Set cmd.ActiveConnection = Conn     'Conn是一個已經Open的ADODB.Connection對象。
    'adVarChar = 200
    'adParamInput = 1

    cmd.Parameters.Append cmd.CreateParameter("a", 200, _
                                            1, 50, _
                                            "a union select * from tblAdmin")
    cmd.Parameters.Append cmd.CreateParameter("dad", 200, 1, 50, "系統管理")
    Set rs = cmd.Execute()
    Do Until rs.EOF
        Response.write Server.htmlencode(rs(0))
        rs.MoveNext
    Loop

End Function



 


本站文章旨在為該問題提供解決思路及關鍵性代碼,并不能完成應該由网友自己完成的所有工作,請网友在仔細看文章并理解思路的基礎上舉一反三、靈活運用。

access911.net 原創文章,作者本人對文章保留一切權利。
如需轉載必須征得作者同意并注明本站鏈接

 

 
相關文章
     沒有手動相關文章
 
評論
     查看或發表更多的評論,請單擊這里。
 
 
 
 
 
   
  Access911.net   |   a9BBS   |   OTaA System   |
建站日期︰2000年4月2日  |  設計施工︰陳格 ( access911 & cg1 )
 Copyright © 2000 - 2003 COMET, 陳格 保留所有權利