日期:2014-05-17  浏览次数:21135 次

有没有防sql注入的代码啊
有没有防sql注入的代码啊,我的站是asp的, 请教啊

------解决方案--------------------
曾经用过动网论坛上的代码,里面有相关的防注入函数.
------解决方案--------------------
用 ADO对象来操作数据库的话不需要防SQL注入过滤,用参数化查询取代SQL拼接就可以了。
------
非要拼接字符串的话 :
Access 的话可以 把字符字段的输入 Replace("xx","'", "''")
SQL Server 尽量用存储过程。拼接注入的方法太多了,必须用正则检查字段的类型大小和特征。
------解决方案--------------------
没这么复杂,就是判断的时候别直接拼接字符串,用parameter穿参数的形式就行了。。。、、、咯。。。
------解决方案--------------------
加强类型检测和控制。
------解决方案--------------------
写一些对传参的ID的类型判断函数
VB code
Function replacestr(str)
   replacestr=replace(str,"'","")
   replacestr=replace(replacestr,"]","")
   replacestr=replace(replacestr,"[","")
   replacestr=replace(replacestr,";","")
   replacestr=replace(replacestr,":","")
   replacestr=replace(replacestr,"or","")
   replacestr=replace(replacestr,"and","")
   replacestr=replace(replacestr,"","")
End Function 
 


'*************************************************************
'判断是否为数字
'*************************************************************
Function ChkNum(Str)
  ChkNum=true
  if not IsNumeric(Str) then
   ChkNum=false
  end if
End Function