Asp-Classic

經典的 ASP SQL 注入

  • October 2, 2012

我最近繼承了一個經典的 asp 網站,其中包含大量易受 SQL 注入攻擊的內聯 SQL 插入語句。

這些插入語句通過 ADO 命令對象執行。

將 ADO 命令對象的 Prepared 屬性設置為 true 是否會確保查詢在執行前被參數化,從而降低 SQL 注入的風險?

這個連結應該證明是有用的。

經典 ASP SQL 注入保護

不,如果您使用直接從“外部”獲得的值建構 SQL 字元串,那麼“準備好的語句”將無濟於事。

一個

sSQL = "SELECT * from mytable where mycolumn = '" + querystring("value") + "'"

還在自找麻煩。解決此問題的唯一方法是在查詢中使用參數。

引用自:https://stackoverflow.com/questions/1524101

相關問答

Asp.net

經典 ASP 和 ASP.NET 集成

  • November 10, 2021
檢視問答
Asp-Classic

如何在經典 ASP 中遍歷集合?

  • October 25, 2021
檢視問答
Asp-Classic

如何在經典 ASP 中延遲響應

  • July 9, 2021
檢視問答
Asp-Classic

ASP:request.form 沒有返回值?

  • June 14, 2021
檢視問答
Asp-Classic

檢索 ADO 記錄集欄位名稱(經典 ASP)

  • April 27, 2021
檢視問答
Asp-Classic

ASP,需要使用SFTP

  • December 12, 2020
檢視問答