防止别人在QueryString中加入delete或其他字符删除你的数据库内容

最新推荐文章于 2011-10-14 09:40:23 发布
最新推荐文章于 2011-10-14 09:40:23 发布
阅读量1k 收藏
点赞数
分类专栏: SQL数据库 文章标签: delete 数据库 action 编程 sql 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flyingsnowy/article/details/158163
版权

       zrsz(原作)  
 

目前网络上有些人得用编程人员的sql编程的漏洞(估且叫做漏洞:P)
在QueryString后加上诸如:;delete forum_forum;--这类的语句,来对你的数据库进行delete操作。
造成这样的原因是编程不严密。我给大家提供一种小方法,也许这种方法太菜了但请不要见笑。:)
examle:
<a href="add.asp?action=add">
<a href="add.asp?action=delete">
则处理函数如下:
action1=trim(Request.QueryString())
if left(action1,7)<>"action=" then '限定querystring必须为 action=
error(err01)'错误处理
else
action=Request.querystring("action")'取得querystring的值
end if
select case action'对querystring进行处理
case "add"
.....
case "delete"
......
case else '如果querystring没有这个值则进行错误处理
error(err02)
end select
 

flyingsnowy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Node.js学习之查询字符串解析querystring详解
10-19
主要给大家介绍了关于Node.js查询字符串解析querystring的相关资料,文通过示例代码介绍的非常详细,对大家学习或者使用node.js具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
浅析HTTPGet、Post、Put与Delete的区别
qq_43354717的博客
11-16 857
浅析HTTPGet、Post、Put与Delete的区别 1、GET请求会向数据库发索取数据的请求,从而来获取信息,该请求就像数据库的select操作一样,只是用来查询一下数据,不会修改、增加数据,不会影响资源的内容,即该请求不会产生副作用。无论进行多少次操作,结果都是一样的。 2、与GET不同的是,PUT请求是向服务器端发送数据的,从而改变信息,该请求就像数据库的update操作一样,用来修改数据的内容,但是不会增加数据的种类等,也就是说无论进行多少次PUT操作,其结果并没有不同。 3、POST请求同P
ORCLA数据类型小结
tengxiaoming的专栏
01-21 5402
ORACLE常用数据类型:float和real的区别:float 和 real 数据类型被称为近似数据类型。float 和 real 的使用遵循有关近似数值数据类型的 IEEE 754 规范。近似数值数据类型并不存储为许多数字指定的精确值,它们只储存这些值的最近似值。在很多应用程序,指定值与存储的近似值之间的微小差异并不明显。但有时这些差异也较明显。由于 float 和 re
querystring:解析和字符串化URL查询字符
04-27
解析和字符串化URL查询字符串。 从分叉 安装 yarn add @chaitin/querystring 用法 import { parse , stringify } from '@chaitin/querystring' const result = parse ( "foo=foo&foo&foo=one&foo=&bat=buz" ) // ...
Node4:提供学生信息列表,其姓名或姓氏与 queryString 提供的字符串匹配
05-30
节点4 提供学生信息列表,其姓名或姓氏与 queryString 字符串匹配。
mod_querystring2cookie:将查询字符串设置回显为 cookie 或 cookie 为 json
06-17
mod_querystring2cookie 将查询字符串参数转换为 cookie建造确保你已经安装了 apxs2 和 perl,在 Ubuntu 上你可以通过运行: $ sudo apt-get install apache2-dev libapreq2-dev perl从结帐目录运行: $ sudo perl ...
querystring:简单键值对查询字符串解析器
05-24
简单的键/值对查询字符串解析器和格式化程序。 安装 $ component install component/querystring 原料药 .parse(字符串) 解析给定的查询string : var query = require ( 'querystring' ) ; query . parse ( '...
.net Request.QueryString 传递特殊字符的解决方法
taotao821130的专栏
10-14 4872
Request.QueryString 对特殊字符的编码与解码 对传递的特殊字符串进行  HttpUtility.UrlEncode("*&%¥"); 或  Server.UrlEncode("+-"); 编码 对接收的特殊字符串进行  HttpUtility.Ht
Sql Sever 数据库 自动备份
谁谁的程序技术专栏
01-09 4646
第一种,最简单。 1、启动SQL服务器 2、打开企业管理器 3、进入你服务器下“管理”,启动“SQL Server代理”,如果这个启动不了的话什么都不能做。 4、进入“管理”下的“数据库维护计划” 5、右键,“新建维护计划” 6、下一步 7、选择你要备份的数据库,下一步 8、下一步 9、下一步 10、点“更改”,详细设定你要备份的周期 11、下一步,可以更改你备份文件的目录 12、一直点下一步
Access数据库安全攻防策略
谁谁的程序技术专栏
12-20 2407
前言: 网络是没有绝对全安的. 这是一句经典的名言,我也不用多说了! 今天主要为大家演示一下,怎么下载Access数据库防止Access数据库被下载. 攻: 一、发挥你的想象力 修改数据库文件名,从理论上讲不一定能防止被下载. 修改数据库名,其目的就是防止我们猜到数据库而被下载. 但是万一我们猜到数据库名,就直接可以下载了.所以这不能保证100%不能被下载. 猜解数据库的常用的办法就是写程序去猜
原来改mdb为asp就能防下载是鬼话
谁谁的程序技术专栏
12-20 2159
篇首语:原来改mdb为asp就能防下载是鬼话。  引子:昨天和animator试验了一下,把data.mdb文件改名为data.asp文件后放在wwwroot目录里。然后 在IE输入data.asp路径后,发现IE显示一片空白,右键->察看源文件,跳出记事本,将内容另存为.mdb文件 ,用ACCESS打开,发现需要密码,也就是说至少文件头被破坏。  然后用Flashget
Transact_SQL小手册
谁谁的程序技术专栏
10-29 1614
 sql基础知识1.数据库查询:Select用法Select [Top(数值)] 字段列表 From 数据表 [Where 条件] [Order by 字段] [asc或desc]2.添加数据:Insert Into用法Insert Into 数据表(字段1,字段2,字段3,…) Values(字段1的值,字段2的值,字段3的值,…)3.删除数据:Delete用法Delete From
ACCESS改为SQL需要注意哪几个地方!
谁谁的程序技术专栏
03-02 1119
看到别人有时问这个方面的问题。。于是在各网站总结前前辈高人的几点想法,拿来共享:数据库导入以后,自动增加字段需要重写,所有的数字类型需要增加长度,最好用decimal。所有的默认值都丢失了。主要是数字类型和日期类型。所有now(),time(),date()要改成getdate()。所有datediff(d, time1, time2)要改成datediff(day, time1, time2
SQL注入分析
谁谁的程序技术专栏
10-28 1118
着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常
C#创建页面MyDetailEdit.aspx实现你自己的数据库表格信息的联动
最新发布
06-07
首先,需要在页面添加一些控件来显示和编辑表格信息。例如,可以使用TextBox控件来显示和编辑表格的文本字段,使用DropDownList控件来显示和编辑表格的下拉列表字段,使用CheckBox控件来显示和编辑表格的复...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值