ASP防SQL注入的方法浅谈

2018/3/16 10:24:40      点击:
下为ASP防SQL注入的代码:
  Dimconn,cmd,pra
  setconn=server.createobject("adodb.connection")
  conn.Open"…………"'这里省略数据库连接字
  setcmd=server.createobject("adodb.Command")
  setpra=server.createobject("adodb.Parameter")
  cmd.ActiveConnection=conn
  cmd.CommandText="updatenewssettitle=?whereid=?"
  cmd.CommandType=adCmdText
  Setpra=cmd.CreateParameter("title",adVarWChar,adParamInput,50,"1'2'3")
  cmd.Parameters.Appendpra
  Setpra=cmd.CreateParameter("id",adInteger,adParamInput,,10)
  cmd.Parameters.Appendpra
  cmd.Execute
  news表的id字段是Integer型的,title字段是nvarchar(50)型的,执行的效果是把news表中id字段为10的记录的title字段的内容改成“1'2'3”