classic asp中使用ADODB.Command防止sql injection
2024-10-18 20:24:47
原始代码如下
Set Conn = Server.CreateObject("Adodb.Connection")
Conn.Open "Provider=Microsoft.Jet.Oledb.4.0;Data Source="&Server.MapPath("*****.mdb")
sql="select * from users where username='"&request.Form("username")&"' and password='"&request.Form("password")&"'"
rs.open sql,conn,1,1
这种拼接sql语句的做法不可取,有很大隐患,最常见的是在WHERE语句中添加恒等条件即可执行一些sql语句,进而获取大量信息,保险的方式是使用参数化的形式,大部分脚本语言例如PHP,js等都有类似处理,但由于传统的asp已经过时了,所以这方面资料较少,在查找和实践后,我将修改方式记录下来,避免大家绕远路。
……
set sql_cmd = Server.CreateObject("Adodb.Command")
sql_cmd.ActiveConnection = Conn sql_cmd.CommandText = "select * from users where username=param1 and password=param2" //ADO.CreateParameter(name,type,direction,size,value)
sql_cmd.Parameters.Append sql_cmd.CreateParameter("param1",202,1,20,request.Form("username"))
//sql_cmd.CreateParameter("param1",adVarWChar,adParamInput,20,request.Form("username")),使用这种方式会出错,参数不识别adVarWChar,不知道为什么
sql_cmd.Parameters.Append sql_cmd.CreateParameter("param2",202,1,20,request.Form("password")) set rs = sql_cmd.Execute
参考:
1.使用 Command 对象调用示例存储过程
2.Filtering SQL injection from Classic ASP
3. ADODB.Command error '800a0bb9'
最新文章
- Fis3的前端工程化之路[三大特性篇之资源定位]
- Bzoj索引
- 跟我一起学WCF(10)——WCF中事务处理
- h5 本地存储和读取信息
- web.xml 配置 加载顺序
- hdu 2177 取(2堆)石子游戏 博弈论
- 转载有个小孩跟我说LINQ(重点讲述Linq中GroupBy的原理及用法)
- 【考虑周全+数学变形】【11月赛】Is it a fantastic matrix?
- 把luasocket集成到c++中
- 集合之深入理解HashMap
- ffplay播放器移植VC的工程:ffplay for MFC
- SVN和GIT
- day02-运算符 and 和 or 的用法
- 实现mypwd和mybash
- idea实现自动sql-generator的使用
- Android逆向基础----APK文件结构
- SpringBoot的Session并发控制
- Mac Mysql 修改初始化密码
- Canvas---clearRect()清除圆形区域
- Spring Boot开发之流水无情(二)