以文本方式查看主题 - Foxtable(狐表) (http://foxtable.net/bbs/index.asp) -- 专家坐堂 (http://foxtable.net/bbs/list.asp?boardid=2) ---- SQL注入的问题 (http://foxtable.net/bbs/dispbbs.asp?boardid=2&id=94558) |
-- 作者:fjlclxj -- 发布时间:2016/12/26 20:02:00 -- SQL注入的问题 采用外部表建立用户表 如何防止SQL注入 Dim cmd As new S QLCommand cmd.C onnectionN ame="DataSource" cmd.C ommandText ="s elect * from base_user where name=\'" & e.UserName & "\' And pswd =\'" & e.Password & "\'" 如e.username="a\' or 1=1 or 1=\'1"
|
-- 作者:小马甲 -- 发布时间:2016/12/26 20:20:00 -- 字符串处理 存储过程 或 参数化查询 openqq 多层 |
-- 作者:有点蓝 -- 发布时间:2016/12/26 20:50:00 -- 最简单的方法是把一个单引号变为2个单引号 cmd.C ommandText ="s elect * from base_user where name=\'" & e.UserName.replace("\'","\'\'") & "\' And pswd =\'" & e.Password & "\'"
|