当用户输入带有特殊字符的密码时,如何防止“删除BOBBY表”?

考虑将SQL语句移动到存储过程中,并确保在这些存储过程中不使用动态SQL。

Dim userPwd = Trim(Request.QueryString("userPwd"))
'--- Create and append parameter for Password
Set pwdParameter = cmd.CreateParameter("@UserPassword", ad_nVarChar, adParamInput, 50, userPwd)
cmd.Parameters.Append pwdParameter

当然最好不要存放pwd 在你的数据库里,而是一个咸杂烩。

无论向数据库发送什么字符串,都首选上面的方法,因为只要在存储过程中不将参数与动态SQL一起使用,它将避免直接作为临时语句执行,并将避免SQL注入。

更好的解决方案是将所有查询转换为参数化查询。

这是一个 12 year old article explaining how :)

为什么用明文发送密码?计算密码的哈希值并发送该值。这将允许您防止SQL注入和避免中间人类型的攻击。

很多网站限制了密码中可以使用的字符集-选择一个不会给你带来悲伤的字符集。这可能意味着字母数字和一些标点符号(逗号、句号、破折号)。有人说,这些网站让我很恼火——如果有机会,我会在密码中使用一组丰富的字符,而在只使用字母数字的网站上,我通常会使用类似“IHateNoPunctSites”之类的废话作为密码。