ASP SQL防注入的方法

2016-02-19 16:05 3 1 收藏

想要天天向上，就要懂得享受学习。图老师为大家推荐ASP SQL防注入的方法，精彩的内容需要你们用心的阅读。还在等什么快点来看看吧！

【 tulaoshi.com - Web开发】

下面我们将要介绍另一种在ASP里防SQL注入攻击的方法，该方法不仅仅在ASP里适用，实际上可以在任何使用ADO对象模型与数据库交互的语言中，准确的说称之为基于ADO对象模型的防SQL注入的方法或许更恰当些。好了废话不说了，来看看代码
代码如下:
Dim conn,cmd,pra
set conn=server.createobject("adodb.connection")
conn.Open "…………" '这里省略数据库连接字

set cmd=server.createobject("adodb.Command")
set pra=server.createobject("adodb.Parameter")
cmd.ActiveConnection = conn

cmd.CommandText = "update news set title=？ where id =？"
cmd.CommandType = adCmdText

Set pra = cmd.CreateParameter("title", adVarWChar, adParamInput, 50, "1'2'3")
cmd.Parameters.Append pra

Set pra = cmd.CreateParameter("id", adInteger, adParamInput, , 10)
cmd.Parameters.Append pra

cmd.Execute

news表的id字段是Integer型的,title字段是nvarchar(50)型的，执行的结果是把news表中id字段为10的记录的title字段的内容改成“1'2'3”

来源:https://www.tulaoshi.com/n/20160219/1611027.html

上一篇：电脑管家Windows10正式版检测BIOS不通过怎么办
下一篇： Skype网络电话安装教程

看过《ASP SQL防注入的方法》的人还看了以下文章更多>>

SQL注入攻击通杀

标签： SQLServer

MSSQL注入通杀，只要有注入点就有系统权限不知道大家看过这篇文章没有，可以在db_owner角色下添加SYSADMIN帐号，这招真狠啊，存在MSSQL注射漏洞的服务器又要遭殃了。方法主要是利用db_owner可以修改sp_addlogin和sp_addsrvrolemember这两个存储过程，饶过了验证部分。具体方法如下:先输入drop procedure sp_addlogi...

防范SQL注入式攻击

标签： SQLServer

SQL注入式攻击是利用是指利用设计上的漏洞，在目标服务器上运行Sql命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。比如：如果你的查询语句是select * from admin where username='"&user&"' and password='"&pwd&"'" 那么，如果我的用户名是...

哪位知道DISCUZ处理防SQL注入的代码是哪部分 - PHPchina

标签： PHP

哪位知道DISCUZ处理防SQL注入的代码是哪部分非常感谢【论坛浏览】相关评论作者: namelessxp 发布日期: 2006-10-07common.[inc.]php作者: ahshuguang 发布日期: 2006-10-07谢谢楼上的的朋友是不是这几句起了作用? $magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extr...

SQL 注入式攻击的本质

标签：编程语言网络编程

有文章还说注入式攻击还会有“第三波”攻击潮，到时候会更加难以察觉，连微软的大佬都跑出来澄清说与微软的技术与编码无关，微软为此还专门推出了三个检测软件，那么这个SQL注入式攻击的漏洞究竟是怎么造成的呢？正如微软的大佬所说的，是由于网站程序的开发人员编码不当造成的，不光是ASP、ASP.NET，也包括JSP、PHP等技术，受影响的也不仅仅...

URL编码与SQL注入

标签： Web开发

说到url编码，你或许会想起N年前的url编码漏洞。可惜我是“生不逢时”啊，我接触网络时，那个漏洞早就绝迹咯。言归正传，URL 编码是什么东东呢？看看我从网上抄的定义：引用: url编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值，将它们以name/value参数编码（移去那些不能传送的字符, 将数...

查看更多精彩>>