TroubleShotting 2004年12月25日
SQL注入的基本问题
有篇SQL注入的文章说,之所以会有SQL injection攻击,是因为程序员没有检查传来的数据类型.并且说如果用下面的这个函数代替原有的request函数的话,就可以完全可以杜绝SQL注入.
Function SafeRequest(ParaName,ParaType)
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)

Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If ParaValue="" or not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function

我有一个问题,既然解决办法如此简单可行,为什么还会有很多SQL injection出现呢?

(新人,请不吝赐教)
...全文
142 点赞 收藏 6
写回复
6 条回复

还没有回复,快来抢沙发~

发动态
发帖子
云安全
创建于2007-08-27

3792

社区成员

4356

社区内容

云计算 云安全相关讨论
社区公告
暂无公告