我是ASP.NET的初学者,所以我对如何在ASP.NET中阻止SQL注入有一些疑问.我的编程语言是VB.NET,而不是C#,我使用Microsoft Access作为我的数据库.
我的问题是:
这是基本的东西,但我对VBA和Word/Access对象模型有点不熟悉.
我有一个大约117000条记录的两列数据库.列是'姓'和'计数'.我希望用户能够在文本框中键入SMITH并点击提交.然后我想运行类似的东西
SELECT table.count FROM table WHERE surname = string
并在字符串中返回table.count的值.
感觉这应该是五行或六行代码(我有但不会发布)但我显然错过了一些东西!
干杯
我需要'在访问查询中使用字符.
但如果我写选择Fname from MEN where Fnale = 'j'o'我得到错误
如何写字符 '
提前致谢
可能重复:
非Web SQL注入
有人知道Web应用程序中没有的SQL注入漏洞的一个很好的例子吗?这次攻击的用户输入是什么?我正在寻找一个真正的漏洞,而不是猜测.以下图片是推测攻击的示例.
alt text http://leonardoanceschi.files.wordpress.com/2008/05/mini.jpg
我正在使用MS Access 2003,我正在尝试使用VB一次执行一些查询.当我在SQL中写出查询时,它工作正常,但是当我尝试在VB中执行它时,它要求我为DEPA"输入参数值",然后是DND(这是我拥有的两个字符串的前几个字母).这是代码:
Option Compare Database
Public Sub RemoveDupelicateDepartments()
Dim oldID As String
Dim newID As String
Dim sqlStatement As String
oldID = "DND-01"
newID = "DEPA-04"
sqlStatement = "UPDATE [Clean student table] SET [HomeDepartment]=" & newID & " WHERE [HomeDepartment]=" & oldID & ";"
DoCmd.RunSQL sqlStatement & ""
End Sub
Run Code Online (Sandbox Code Playgroud)
它看起来好像它正在接受字符串 - 然后没有别的.我不知道,这就是为什么我要问哈哈.我的代码应该是什么样的?
我目前正在使用Access女士构建一个系统。由于避免sql注入很重要,因此我也想将参数程序用作VB.NET,但我想知道是否可以。如果是这样,如果您至少向我展示了使用参数从控件向数据库中插入数据的sql语句,我将不胜感激;如果不能,那么有人会以其他方式向我展示吗?
任何建议,我将不胜感激,谢谢..