防sql注入参数处理要点
下面的示例代码以VBScript为例,介绍防sql注入参数处理要点,只要在操作数据之前,按照下面的步骤对客户端提交的参数进行验证,一般不会出现sql注入问题,最多是脚本出错,在cint语句那里
读数据库,使用连接字符串构成sql语句的,需要执行下面的操作
1)如果参数为字符串,将'替换掉
xx=replace(request("xx"),"'","")
2)如果参数为数字,使用cint转换下类型
xx=cint(request("xx"))
写数据库的时候
1)如果是构造sql语句然后使用connection对象的execute执行sql语句
a)如果参数为字符串,将'替换为''
xx=replace(request("xx"),"'","''")
b)如果参数为数字,使用cint转换下类型
xx=cint(request("xx"))
2)如果使用的游标写数据库,不用进行任何替换
rs("xx")=request("xx")
加支付宝好友偷能量挖...
原创文章,转载请注明出处:防sql注入参数处理要点