SQL，請別注入ASP

標題： SQL，請別注入ASP 關鍵詞： SQL,ASP 描述：避免SQL隱碼攻擊ASP攻擊的方法不僅僅在ASP裡適用，實際上可以在任何使用ADO物件模型與資料庫互動的語言中，準確的說稱之為基於ADO物件模型的防SQL隱碼攻擊的方法或許更恰當些。

正文：

避免SQL隱碼攻擊ASP攻擊的方法不僅僅在ASP裡適用，實際上可以在任何使用ADO物件模型與資料庫互動的語言中，準確的說稱之為基於ADO物件模型的防SQL隱碼攻擊的方法或許更恰當些。

　　Dim conn,cmd,pra

　　set conn=server.createobject("adodb.connection")

　　conn.Open "…………" '這裡省略資料庫連線字

　　set cmd=server.createobject("adodb.Command")

　　set pra=server.createobject("adodb.Parameter")

　　cmd.ActiveConnection = conn

　　cmd.CommandText = "update news set title=? where id =?"

　　cmd.CommandType = adCmdText

　　Set pra = cmd.CreateParameter("title", adVarWChar, adParamInput, 50, "1'2'3")

　　cmd.Parameters.Append pra

　　Set pra = cmd.CreateParameter("id", adInteger, adParamInput, , 10)

　　cmd.Parameters.Append pra

　　cmd.Execute

　　news表的id欄位是Integer型的,title欄位是nvarchar(50)型的，執行的結果是把news表中id欄位為10的記錄的title欄位的內容改成“1'2'3”

本文為Anyforweb技術分享部落格，需要了解網站建設相關，請訪問anyforweb.com。