Foxtable(狐表)用户栏目专家坐堂 → SQL注入的问题


  共有1779人关注过本帖树形打印复制链接

主题:SQL注入的问题

帅哥哟,离线,有人找我吗?
fjlclxj
  1楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:小狐 帖子:321 积分:2468 威望:0 精华:2 注册:2013/1/16 19:33:00
SQL注入的问题  发帖心情 Post By:2016/12/26 20:02:00 [只看该作者]

采用外部表建立用户表
如何防止SQL注入
Dim cmd As new S QLCommand
cmd.C onnectionN ame="DataSource"
cmd.C ommandText ="s elect * from base_user where name='" & e.UserName & "' And pswd ='" & e.Password & "'"
如e.username="a' or 1=1 or 1='1"

 回到顶部
帅哥哟,离线,有人找我吗?
小马甲
  2楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:幼狐 帖子:83 积分:733 威望:0 精华:0 注册:2016/12/2 15:17:00
  发帖心情 Post By:2016/12/26 20:20:00 [只看该作者]

字符串处理

存储过程 或 参数化查询

openqq

多层





 回到顶部
帅哥哟,离线,有人找我吗?
有点蓝
  3楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:超级版主 帖子:105470 积分:536335 威望:0 精华:9 注册:2015/6/24 9:21:00
  发帖心情 Post By:2016/12/26 20:50:00 [只看该作者]

最简单的方法是把一个单引号变为2个单引号

cmd.C ommandText ="s elect * from base_user where name='" & e.UserName.replace("'","''") & "' And pswd ='" & e.Password & "'"

 回到顶部