有没有防sql注入的代码啊,我的站是asp的, 请教啊
------解决方案--------------------
曾经用过动网论坛上的代码,里面有相关的防注入函数.
------解决方案--------------------
用 ADO对象来操作数据库的话不需要防SQL注入过滤,用参数化查询取代SQL拼接就可以了。
------
非要拼接字符串的话 :
Access 的话可以 把字符字段的输入 Replace("xx","'", "''")
SQL Server 尽量用存储过程。拼接注入的方法太多了,必须用正则检查字段的类型大小和特征。
------解决方案--------------------
没这么复杂,就是判断的时候别直接拼接字符串,用parameter穿参数的形式就行了。。。、、、咯。。。
------解决方案--------------------
加强类型检测和控制。
------解决方案--------------------
写一些对传参的ID的类型判断函数
- VB code
Function replacestr(str)
replacestr=replace(str,"'","")
replacestr=replace(replacestr,"]","")
replacestr=replace(replacestr,"[","")
replacestr=replace(replacestr,";","")
replacestr=replace(replacestr,":","")
replacestr=replace(replacestr,"or","")
replacestr=replace(replacestr,"and","")
replacestr=replace(replacestr,"","")
End Function
'*************************************************************
'判断是否为数字
'*************************************************************
Function ChkNum(Str)
ChkNum=true
if not IsNumeric(Str) then
ChkNum=false
end if
End Function