专家坐堂-SQL注入的问题Foxtable(狐表) - 新一代数据库软件，完美融合Access、Foxpro、Excel、vb.net之优势，人人都能掌握的快速软件开发工具!

以文本方式查看主题

-  Foxtable(狐表)  (http://www.foxtable.com/bbs/index.asp)
--  专家坐堂  (http://www.foxtable.com/bbs/list.asp?boardid=2)
----  SQL注入的问题  (http://www.foxtable.com/bbs/dispbbs.asp?boardid=2&id=94558)

--  作者：fjlclxj
--  发布时间：2016/12/26 20:02:00
--  SQL注入的问题

采用外部表建立用户表
如何防止SQL注入
Dim cmd As new S QLCommand
cmd.C onnectionN ame="DataSource"
cmd.C ommandText ="s elect * from base_user where name=\'" & e.UserName & "\' And pswd =\'" & e.Password & "\'"
如e.username="a\' or 1=1 or 1=\'1"

--  作者：小马甲
--  发布时间：2016/12/26 20:20:00
--
字符串处理

存储过程或参数化查询

openqq

多层

--  作者：有点蓝
--  发布时间：2016/12/26 20:50:00
--
最简单的方法是把一个单引号变为2个单引号

cmd.C ommandText ="s elect * from base_user where name=\'" & e.UserName.replace("\'","\'\'") & "\' And pswd =\'" & e.Password & "\'"