杭州交通信息网植物生长动画:急急急!!!防注入问题,请高手指点!!!
来源:百度文库 编辑:杭州交通信息网 时间:2024/05/01 07:37:32
sql="select * from [MusicList] where MusicName Like '%"& qq &"%' order by id desc"
可以进行模糊搜索,不知道是不是后来在添加歌曲的时候存在注入问题,一定要用
sql="select * from [MusicList] where MusicName = '"& qq &"' order by id desc"
准确搜索,这样一来,用户就只能搜索到和关键字一样的歌曲,搜索功能就会大大减弱了,请各位高手帮小弟想一下是哪里出了问题?可以从哪方面入手??先谢谢了!!!
做过音乐网的朋友请给出一些处理防注入的方法吧,谢谢,我的音乐网是www.21kudy.com
把“%”换成“*”号试了也不行,还有其它方法吗?
SQL注入漏洞可谓是“千里之堤,溃于蚁穴”,这种漏洞在网上极为普遍,通常是由于程序员对注入不了解,或者程序过滤不严格,或者某个参数忘记检查导致。在这里,我给大家一个函数,代替ASP中的Request函数,可以对一切的SQL注入Say NO,函数如下:
Function SafeRequest(ParaName,ParaType)
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)
Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If ParaValue="" or not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function
SQL模糊查询,使用like比较字,加上SQL里的通配符,请参考以下:
1、LIKE'Mc%' 将搜索以字母 Mc 开头的所有字符串(如 McBadden)。
2、LIKE'%inger' 将搜索以字母 inger 结尾的所有字符串(如 Ringer、Stringer)。
3、LIKE'%en%' 将搜索在任何位置包含字母 en 的所有字符串(如 Bennet、Green、McBadden)。
4、LIKE'_heryl' 将搜索以字母 heryl 结尾的所有六个字母的名称(如 Cheryl、Sheryl)。
5、LIKE'[CK]ars[eo]n' 将搜索下列字符串:Carsen、Karsen、Carson 和 Karson(如 Carson)。
6、LIKE'[M-Z]inger' 将搜索以字符串 inger 结尾、以从 M 到 Z 的任何单个字母开头的所有名称(如 Ringer)。
7、LIKE'M[^c]%' 将搜索以字母 M 开头,并且第二个字母不是 c 的所有名称(如MacFeather)。
-------------------------------------------------
呵呵,要完整的例句啊。下面这句查询字符串是我以前写的,根据变量 zipcode_key 在邮政编码表 zipcode 中查询对应的数据,这句是判断变量 zipcode_key 为非数字时的查询语句,用 % 来匹配任意长度的字符串,从表中地址、市、省三列中查询包含关键字的所有数据项,并按省、市、地址排序。这个例子比较简单,只要你理解了方法就可以写出更复杂的查询语句。
sql = "select * from zipcode where (address like'%" & zipcode_key & "%') or (city like'%" & zipcode_key & "%') or (province like'%" & zipcode_key & "%') order by province,city,address"
==============
另外,
这里有一篇关于SQL注入漏洞的文章,介绍的比较详细!!
你可以看看!!
http://www.blueidea.com/tech/program/2004/1810.asp
把“%”换成“*”号试试吧
sql="select * from [MusicList] where MusicName Like '*"& qq &"*' order by id desc"