Access911.net   |   a9BBS   |   OTaA System  
  搜索文章:  
Access911欢迎您光临  
   主页      上传      繁體版       论坛     
设为首页  |  加入收藏   
  
你现在的位置:文章索引 -> 文章分类 -> OA  
 首页|  近日更新|  下载  |  文章索引  |  搜索|  术语|  承接工程|  
 
系统正在加载内容,请耐心等待...
 
 查询
 窗体
 报表
 
 
 VBA
 函数
 ADO/DAO/ADO.NET
 API
 ADP
 安全
 发布
 OA
 ASP/ASP.NET
 其他语言
 控件
 DELPHI
 C#/.Net
 本站
 其他
 小例程
 常用软件
 参考文档
 业主作品
 网友大作
 
 
友情链接
 access911.net
 
访问人次
 1701854
 
站长 E-Mail
 net911@sina.com
 access911@gmail.com
 
RSS 订阅

显示附加信息 >>>

Excel中批量执行SQL Server语句,如何校验是否有SQL注入漏洞

作者:cg1  摘自:access911.net  :cg1  更新日期:2012-1-27  浏览人次:

 

问题:

直接组织SQL语句并在SQL SERVER上执行容易出现sql漏洞,如何避免?
Excel中批量执行SQL Server语句,如何校验是否有SQL注入漏洞《OA》

 

回答:

在SQL语句中用 ? 问号代替对应的参数,然后用command.parameters进行赋值,可以避免漏洞,而且存储过程可以使用的代码基本都可以使用。

    Dim conn As New ADODB.Connection
    Dim cmd As New ADODB.Command
    Dim strSql As String
    Dim rs As New ADODB.Recordset
    conn.Open "Provider=SQLOLEDB.1;Password=1;Persist Security Info=True;User ID=sa;Initial Catalog=DatabaseName;Data Source=127.0.0.1"
    strSql = "declare @a varchar(50);set @a=?;insert into cg_btypecontrol(btypeguid) values(@a);"
    Set cmd.ActiveConnection = conn
    cmd.CommandType = adCmdText
    cmd.CommandText = strSql
    cmd.Parameters.Append cmd.CreateParameter("a", adVarChar, adParamInput, 50, "abcd")
    cmd.Execute

 

本站文章旨在为该问题提供解决思路及关键性代码,并不能完成应该由网友自己完成的所有工作,请网友在仔细看文章并理解思路的基础上举一反三、灵活运用。

access911.net 原创文章,作者本人对文章保留一切权利。
如需转载必须征得作者同意并注明本站链接

 

 
相关文章
     没有手动相关文章
 
评论
     查看或发表更多的评论,请单击这里。
 
 
 
 
 
   
  Access911.net   |   a9BBS   |   OTaA System   |
建站日期:2000年4月2日  |  设计施工:陈格 ( access911 & cg1 )
 Copyright © 2000 - 2003 COMET, 陈格 保留所有权利