欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

ASP SQL防注入的方法

 更新時(shí)間:2008年12月25日 12:26:09   作者:  
前一篇我們介紹了一種防SQL注入的終極方法,也就是最原始、最簡(jiǎn)單、最有效也是最通用的方法,就是數(shù)據(jù)類(lèi)型的檢查加單引號(hào)的處理,具體的內(nèi)容前面一篇已經(jīng)介紹過(guò)了,這里我就不重復(fù)了
下面我們將要介紹另一種在ASP里防SQL注入攻擊的方法,該方法不僅僅在ASP里適用,實(shí)際上可以在任何使用ADO對(duì)象模型與數(shù)據(jù)庫(kù)交互的語(yǔ)言中,準(zhǔn)確的說(shuō)稱(chēng)之為基于ADO對(duì)象模型的防SQL注入的方法或許更恰當(dāng)些。好了廢話不說(shuō)了,來(lái)看看代碼
復(fù)制代碼 代碼如下:

Dim conn,cmd,pra
set conn=server.createobject("adodb.connection")
conn.Open "…………" '這里省略數(shù)據(jù)庫(kù)連接字

set cmd=server.createobject("adodb.Command")
set pra=server.createobject("adodb.Parameter")
cmd.ActiveConnection = conn

cmd.CommandText = "update news set title=? where id =?"
cmd.CommandType = adCmdText

Set pra = cmd.CreateParameter("title", adVarWChar, adParamInput, 50, "1'2'3")
cmd.Parameters.Append pra

Set pra = cmd.CreateParameter("id", adInteger, adParamInput, , 10)
cmd.Parameters.Append pra

cmd.Execute

news表的id字段是Integer型的,title字段是nvarchar(50)型的,執(zhí)行的結(jié)果是把news表中id字段為10的記錄的title字段的內(nèi)容改成“1'2'3”

相關(guān)文章

最新評(píng)論