4,453
社区成员
发帖
与我相关
我的任务
分享SQL注入的基本问题
有篇SQL注入的文章说,之所以会有SQL injection攻击,是因为程序员没有检查传来的数据类型.并且说如果用下面的这个函数代替原有的request函数的话,就可以完全可以杜绝SQL注入.
Function SafeRequest(ParaName,ParaType)
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)
Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If ParaValue="" or not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function
我有一个问题,既然解决办法如此简单可行,为什么还会有很多SQL injection出现呢?
(新人,请不吝赐教)
Function SafeRequest(ParaName,ParaType)
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)
Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If ParaValue="" or not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function
我有一个问题,既然解决办法如此简单可行,为什么还会有很多SQL injection出现呢?
(新人,请不吝赐教)
...全文
请发表友善的回复…
发表回复
TroubleShotting 2005-01-07
- 打赏
- 举报
能举个例子么
多谢
多谢
tabris17 2005-01-06
- 打赏
- 举报
不是仅过虑参数就可以的
你也可能从cookie、文件名、User-Agent这样看似可信,却也可以伪造的信息来进行sql查询
你也可能从cookie、文件名、User-Agent这样看似可信,却也可以伪造的信息来进行sql查询
sg9527 2004-12-29
- 打赏
- 举报
这就好比
你只要仔细地注意一下你的包包,
你被人偷的几率就可以大幅度的降低
真正的神偷是没几个的,不少小偷的技术手段其实还是很简单的,但就是有那么多的人被偷
这个比喻应该还可以吧
你只要仔细地注意一下你的包包,
你被人偷的几率就可以大幅度的降低
真正的神偷是没几个的,不少小偷的技术手段其实还是很简单的,但就是有那么多的人被偷
这个比喻应该还可以吧
armandlee 2004-12-28
- 打赏
- 举报
用存储过程最安全。
fuju 2004-12-25
- 打赏
- 举报
程序员的安全意识好象普遍不高啊...
oyljerry 2004-12-25
- 打赏
- 举报
很多都没意识到
