KanJing—程序中心

收集、阅读、编写、交流、每天进行,快速进步……

简单sql注入防范

1、判断数据来源,
   source=LCase(Request.ServerVariables("HTTP_REFERER"))
   if InStr(source,"http://www.xxx.com/")=0 then
     response.redirect "err.htm"
   End if
2、对提交过来的数据,进行判断
a、字符型,通过下面函数过滤
function checkStr(str)
 if isnull(str) then
  checkStr = ""
  exit function
 end if
 str = Replace(str, Chr(0), "")
 checkStr=replace(str,"'","''")
end function
b、数字型
用函数isnumeric(num)判断是否为数字

3、在数据库连接前加上,on error resume next 屏蔽错误信息显示,调试时先注释掉

<%
dim conn,DBPath
on error resume next
Set conn = Server.CreateObject("ADODB.Connection")
DBPath = Server.MapPath("data.asp")
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & DBPath
If Err Then
 err.Clear
 Set Conn = Nothing
 response.redirect "err.htm"
End If
%>


阅读更多
文章标签: sql function 数据库
个人分类: Asp / Asp.Net
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

不良信息举报

简单sql注入防范

最多只允许输入30个字

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭