Access911.net   |   a9BBS   |   OTaA System  
  搜索文章︰  
Access911歡迎您光臨  
   主頁      上傳      简体版       論壇     
設為首頁  |  加入收藏   
  
你現在的位置︰文章索引 -> 文章分類 -> OA  
 首頁|  近日更新|  下載  |  文章索引  |  搜索|  朮語|  承接工程|  
 
系統正在加載內容,請耐心等待...
 
 查詢
 窗体
 報表
 
 
 VBA
 函數
 ADO/DAO/ADO.NET
 API
 ADP
 安全
 發布
 OA
 ASP/ASP.NET
 其他語言
 控件
 DELPHI
 C#/.Net
 本站
 其他
 小例程
 常用軟件
 參考文檔
 業主作品
 网友大作
 
 
友情鏈接
 access911.net
 
訪問人次
 1701854
 
站長 E-Mail
 net911@sina.com
 access911@gmail.com
 
RSS 訂閱

顯示附加信息 >>>

Excel中批量執行SQL Server語句,如何校驗是否有SQL注入漏洞

作者︰cg1  摘自︰access911.net  ︰cg1  更新日期︰2012-1-27  瀏覽人次︰

 

問題︰

直接組織SQL語句并在SQL SERVER上執行容易出現sql漏洞,如何避免?
Excel中批量執行SQL Server語句,如何校驗是否有SQL注入漏洞《OA》

 

回答︰

在SQL語句中用 ? 問號代替對應的參數,然後用command.parameters進行賦值,可以避免漏洞,而且存儲過程可以使用的代碼基本都可以使用。

    Dim conn As New ADODB.Connection
    Dim cmd As New ADODB.Command
    Dim strSql As String
    Dim rs As New ADODB.Recordset
    conn.Open "Provider=SQLOLEDB.1;Password=1;Persist Security Info=True;User ID=sa;Initial Catalog=DatabaseName;Data Source=127.0.0.1"
    strSql = "declare @a varchar(50);set @a=?;insert into cg_btypecontrol(btypeguid) values(@a);"
    Set cmd.ActiveConnection = conn
    cmd.CommandType = adCmdText
    cmd.CommandText = strSql
    cmd.Parameters.Append cmd.CreateParameter("a", adVarChar, adParamInput, 50, "abcd")
    cmd.Execute

 

本站文章旨在為該問題提供解決思路及關鍵性代碼,并不能完成應該由网友自己完成的所有工作,請网友在仔細看文章并理解思路的基礎上舉一反三、靈活運用。

access911.net 原創文章,作者本人對文章保留一切權利。
如需轉載必須征得作者同意并注明本站鏈接

 

 
相關文章
     沒有手動相關文章
 
評論
     查看或發表更多的評論,請單擊這里。
 
 
 
 
 
   
  Access911.net   |   a9BBS   |   OTaA System   |
建站日期︰2000年4月2日  |  設計施工︰陳格 ( access911 & cg1 )
 Copyright © 2000 - 2003 COMET, 陳格 保留所有權利