代码之家  ›  专栏  ›  技术社区  ›  Vivian River

如何在classic ASP中运行参数化SQL查询?安全吗?

sql-injection vbscript asp-classic
  •  6
  • Vivian River  · 技术社区  · 14 年前

    我有两个问题。

    首先,在.net中,我习惯使用System.Data.SqlClient客户端要执行查询的命名空间对象。例如: 

    Dim conn as New SqlConnection("Data Source=MyServer;uid=myUid;pwd=myPwd;Initial Catalog=myDataBase;"  
Dim cmd as New SqlCommand("Select fname From myTable where uid=@uid;", conn)  
cmd.Parameters.add(New SqlParameter("@uid",100323)  
conn.open()
Response.Write(cmd.ExecuteScalar())
conn.Close()

    有人告诉我,使用参数化查询本身可以使我的查询免受SQL注入攻击。

    我想知道用VBScript在经典的ASP中执行这种查询的等效代码是什么,以及必须使用哪些类似的安全预防措施来防止SQL注入。

    1 回复  |  直到 14 年前
        1
  •  6
  •   Ash    5 年前

    有些ADODB对象基本上做相同的事情。 ADODB.命令对象等效于SqlCommand。从这里开始,它基本上与.NET中的操作相同。 

    set cmd = Server.CreateOject("ADODB.Command")
cmd.CommandText = "select From Table where ID = @id")
set param = cmd.CreateParameter("@id", adInteger, adInput,0,0)

    我经常使用 w3schools 有关ADO对象的帮助。

    推荐文章
    kwirky_penguin  ·  VBScript远程WMI调用“错误:0”权限被拒绝:“GetObject”
    3 年前
    michael_wycklendt  ·  拆分字符串上的类型不匹配
    3 年前
    RuffMingani  ·  VBScript-WMI查询的语法无效
    3 年前
    Munaver Munu  ·  这段VB代码是如何自动添加到我的html文件中的?[重复]
    3 年前
    whoislouis  ·  是否使用vbscript/hta将文件夹中的所有文件加载到数组中?
    7 年前
    Er Reddy  ·  VBS-查找计算机所在的SCCM集合Id、名称和包名称?
    7 年前
    Nick Cage Wellfair  ·  编写Photoshop脚本时,打开扩展名为JPG的文件夹中的所有文件
    7 年前
    Ali Sheikhpour  ·  在VBScript中将字符串转换为变量名
    7 年前
    QHarr  ·  命令行执行VBScript文件以执行VBA宏无法生成msgbox
    7 年前
    arana  ·  生成3位字母数字日期索引
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号