SQL注入的基本问题

TroubleShotting 2004-12-25 05:57:17
有篇SQL注入的文章说,之所以会有SQL injection攻击,是因为程序员没有检查传来的数据类型.并且说如果用下面的这个函数代替原有的request函数的话,就可以完全可以杜绝SQL注入.
Function SafeRequest(ParaName,ParaType)
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)

Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If ParaValue="" or not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function

我有一个问题,既然解决办法如此简单可行,为什么还会有很多SQL injection出现呢?

(新人,请不吝赐教)
...全文
196 6 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
TroubleShotting 2005-01-07
  • 打赏
  • 举报
回复
能举个例子么
多谢
tabris17 2005-01-06
  • 打赏
  • 举报
回复
不是仅过虑参数就可以的

你也可能从cookie、文件名、User-Agent这样看似可信,却也可以伪造的信息来进行sql查询

sg9527 2004-12-29
  • 打赏
  • 举报
回复
这就好比
你只要仔细地注意一下你的包包,
你被人偷的几率就可以大幅度的降低
真正的神偷是没几个的,不少小偷的技术手段其实还是很简单的,但就是有那么多的人被偷


这个比喻应该还可以吧
armandlee 2004-12-28
  • 打赏
  • 举报
回复
用存储过程最安全。
fuju 2004-12-25
  • 打赏
  • 举报
回复
程序员的安全意识好象普遍不高啊...
oyljerry 2004-12-25
  • 打赏
  • 举报
回复
很多都没意识到

4,453

社区成员

发帖
与我相关
我的任务
社区描述
云计算 云安全相关讨论
社区管理员
  • 云安全社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧