Cav*_*rob 5 sql-server sql-injection asp-classic
我有一些免费响应的文本字段,我不知道如何擦除它们以防止SQL注入.有任何想法吗?
Dan*_*ger 16
创建参数化查询,而不是将用户的输入连接到查询中.
以下是如何在经典的asp中执行此操作:http: //blog.binarybooyah.com/blog/post/Classic-ASP-data-access-using-parameterized-SQL.aspx
同样重要的是要注意,从SQL注入100%安全的唯一方法是参数化任何使用用户输入的sql语句,即使它在数据库中也是如此.示例:假设您通过参数化查询或存储过程获取用户输入.插入时您将是安全的,但是您需要确保使用该输入的任何事情都使用参数.直接连接用户输入在任何地方都是个坏主意,包括在db中.