前一篇我們介紹了一種防SQL注入的終極方法,也就是最原始、最簡單、最有效也是最通用的方法,就是數(shù)據(jù)類型的檢查加單引號的處理,具體的內(nèi)容前面一篇已經(jīng)介紹過了,這里我就不重復(fù)了,下面我們將要介紹另一種在asp里防SQL注入攻擊的方法,該方法不僅僅在ASP里適用,實際上可以在任何使用ADO 對象模型與數(shù)據(jù)庫交互的語言中,準(zhǔn)確的說稱之為基于ADO對象模型的防SQL注入的方法或許更恰當(dāng)些。好了廢話不說了,來看看代碼
Dim conn,cmd,PRa
set conn=server.createobject("adodb.connection")
conn.Open "…………" '這里省略數(shù)據(jù)庫連接字
set cmd=server.createobject("adodb.Command")
set pra=server.createobject("adodb.Parameter")
cmd.ActiveConnection = conn
cmd.CommandText = "update news set title=? where id =?"
cmd.CommandType = adCmdText
Set pra = cmd.CreateParameter("title", adVarWChar, adParamInput, 50, "1'2'3")
cmd.Parameters.Append pra
Set pra = cmd.CreateParameter("id", adInteger, adParamInput, , 10)
cmd.Parameters.Append pra
cmd.Execute
news表的id字段是Integer型的,title字段是nvarchar(50)型的,執(zhí)行的結(jié)果是把news表中id字段為10的記錄的title字段的內(nèi)容改成“1'2'3”
新聞熱點
疑難解答
