我的网站遭受SQL注入攻击。我的网站开发人员拒绝承认参加游说的查询说他的转义脚本已经足够。有人可以请帮助通过显示如何将以下经典asp写入的查询转换为一个参数化查询?如何将此查询转换为经典ASP中的参数化查询?
conn.Execute "insert into tblGROUPcomments ([thecomment], [date_of_entry], [groupid], [submittedby]) " _
& "values ('" _
& Server.HTMLEncode(cleanuptext(request.form("txtcomments"))) & _
"','" & FormatMediumDate(date()) & _
"','" & session("groupid") & _
"','" & session("userid") & "')"
session("errmessageT") = ""
session("varcommentT") = ""
response.redirect("../showallcommentsGROUPS.asp?gid=" & session("groupid")) & "#comments"
什么味道的SQL?这是SQL Server,oracle,IBM吗?而且哪个版本也可能有所帮助。还有什么是“逃生脚本”? – twoleggedhorse 2013-02-12 14:57:18
你是否搜索过?如果您搜索“防止ASP中的SQL注入”之类的东西,您会看到几个例子。像这样 - [如何:保护SQL注入在ASP.NET](http://msdn.microsoft.com/en-us/library/ff648339.aspx) – 2013-02-12 14:58:17
道歉我做了搜索,但我会更好地了解是否有人向我展示了如何转换我的一个查询。再次道歉。 – user2065107 2013-02-12 15:50:05