ASP使用参数化查询数据库

ASP新手入门
关键词

ASP使用参数化查询数据库

摘要

<p>ASP连接数据库时容易出现漏洞,导致SQL注入攻击!使用参数化查询可以很好的解决这个问题。<br /><br />例子:<br /><br />dim sql,c<br />sql="select top 1 1 from domains where d_name=? or d_name like '%.'+?"<br />set c=Server.CreateObject("adodb.command")<br />c.commandType=1<br />c.commandText=sql<br />set c.ActiveConnection=conn<br />c.parameters.append c.createparameter("d_name1",200,1,124,d)<br />c.parameters.append c.createparameter("d_name2",200,1,124,d)<br />set r=c.execute()<br />set c.ActiveConnection=nothing<br />set c=nothing<br /><br />·基本格式见例子中的展示,使用adodb.command来执行SQL语句,并把参数在SQL语句中以问号(?)出现,再使用parameters集合的Append方法来给参数附加值。<br /></p>


ASP连接数据库时容易出现漏洞,导致SQL注入攻击!使用参数化查询可以很好的解决这个问题。

例子:

dim sql,c sql="select top 1 1 from domains where d_name=? or d_name like '%.'+?" set c=Server.CreateObject("adodb.command") c.commandType=1 c.commandText=sql set c.ActiveConnection=conn c.parameters.append c.createparameter("d_name1",200,1,124,d) c.parameters.append c.createparameter("d_name2",200,1,124,d) set r=c.execute() set c.ActiveConnection=nothing set c=nothing

·基本格式见例子中的展示,使用adodb.command来执行SQL语句,并把参数在SQL语句中以问号(?)出现,再使用parameters集合的Append方法来给参数附加值。
·如果有多个参数,就在sql语句中使用多个问号(?)
·如果是Like或In这样运算符中出现参数,使用加号(+),把字符部分和问号分开
·在存储过程中,遇到Like的,也使用加号(+)来串字符串,不要直接把@VAR写到两个单引号之间去了
ADO的常用DataType

---------------------------------------//我个人觉得,应该是要记住的
200        varchar
3        int
16        tinyint
6        currency
135        adDBTimeStamp
129        adChar

相关内容推荐

ASP-条件语句

有时,当我们写代码时,我们要为作出不同的决定而执行不同的操作。我们可以使用条件语句中的代码来做到这一点。条件语句是一套用于执行基于不同条件的不同动作的命令。 为了支

asp获取IP地址的函数

FunctionGetIp() DimDulIp,ProIP DulIp=Request.ServerVariables("HTTP_X_FORWARDED_FOR") ProIP=Request.ServerVariables("REMOTE_ADDR") IfDulIp=""Then GetIp=ProIP Else GetIp=DulIp EndIf EndFunction

周的天数

想在asp显示当前一周有多少天吗?这个代码会把握住今天的值和利用到案例选择显示一周的天数。 % date_value = date() %%= date_value %br% dayofweek=weekday(date_value) %day number in week %= dayofweek %br%

ASP表单输入到HTML

ASP能写.html或者任何其他的直接到web服务器的文档文本(你需要写文本输出到写权限的目录)。这是能够不需要上传PC的文件用户输入即时的发布信息。 下面的例子有四个输入区域(标

编写第一个ASP程序

现在有很多关于ASP编程的教程。其中有些是对于你有帮助,有些完全没有用。甚至有些写得是误人子弟。无论如何,你读过一些关于ASP的内容,现在你已经准备好构建第一个应用程序。

返回
顶部