7
最近,我继承了传统的ASP网站一吨的内联SQL INSERT语句是容易受到SQL注入攻击。经典ASP SQL注入
这些插入语句经由ADO命令对象执行。
将ADO命令对象的Prepared属性设置为true可确保查询在执行前参数化,从而减轻SQL注入的风险?
A
回答
6
此链接应该是有用的。
6
没有,如果你建立与您直接从“外部”获得值的SQL字符串,那么,“准备好的声明”不会帮助你。
一个
sSQL = "SELECT * from mytable where mycolumn = '" + querystring("value") + "'"
仍然找麻烦。 解决此问题的唯一方法是在查询中使用参数。
-2
我会建议你要做的就是写一个函数来清理用户的输入,然后通过运行的所有请求变量。当我写我的我的东西,如:
- 逃逸单引号,
- 删除;和其他特殊字符和
- 确保您不能 - (评论)出来的语句的结束。
大多数SQL注入会尝试像' or 1=1 or a=' 所以SQL代码如下:
SELECT * from mytable where mycolumn = '' or 1=1 or a=''
所以逃逸单引号是真正的大个,你不必担心。
+1
很多人陷入了这个陷阱。创建函数使得代码不易读,并且不是未来的证明。我无法跟踪几年前建立的所有经典ASP网站,更不用说更新他们可能使用或可能不使用的功能。 ADO参数或参数存储过程是要走的路。 –
+0
我同意参数是最佳做法,但如果您试图快速清理一堆代码然后将所有用户输入包装在一个函数中更容易 –
+1
我不认为需要很长时间才能添加一堆'oCmd.Parameters在你的代码中添加oCmd.CreateParameter(...)'语句,并且在这样的情况下,我认为你最好关注质量而不是速度,特别是如果你没有时间做两次这样的工作。 –
2
0
这里的另一个很好的链接和榜样。
http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx
在过去,我们刚刚创建了几个函数来处理SQL注入和XSS任何外部输入。然后,我们慢慢将所有内联SQL转换为存储过程。
相关问题
- 1. 经典ASP黑客 - 注入
- 2. SQL Server vs MySQL - 经典ASP中的SQL注入漏洞
- 3. 经典的ASP - 防止HTTP头注入
- 4. 经典ASP注销过程
- 5. 经典ASP SQL字符串
- 6. 经典asp cint
- 7. 经典ASP:插入记录
- 8. 经典asp导入/导出
- 9. 的VBScript/ASP经典
- 10. 呼唤经典ASP内外部注销
- 11. 为经典ASP注册COM组件
- 12. 注册C#COM使用ASP经典
- 13. swfupload +经典asp
- 14. XPath经典ASP
- 15. 经典的ASP - BOF
- 16. 在ASP经典VBScript
- 17. 使用ASP经典
- 18. 生成ASP经典
- 19. 了解经典ASP
- 20. 参考经典ASP
- 21. 经典asp中的split()asp
- 22. XMLHTTP经典asp后
- 23. IE7经典ASP缓存
- 24. 模拟经典ASP
- 25. 防止经典ASP中的自由响应文本字段上的SQL注入
- 26. 经典ASP SQL Server数据库连接
- 27. 转换SQL代码为VBScript(经典ASP)
- 28. 经典ASP奇怪的SQL错误
- 29. 从ASP经典连接到MS-SQL
- 30. 经典ASP和SQL Server Express 2005
[经典ASP SQL注入保护]的可能重复(http://stackoverflow.com/questions/149848/classic-asp-sql-injection-protection) – NotMe