SQL关于特殊字符处理的基本方法

作者佚名技术来源 ASP编程浏览发布时间 2012-03-12

WebjxCom提示：SQL关于特殊字符处理的基本方法.

一定要对用户可能输入的诸如引号，尖括号等特殊字符给予足够重视，它们可能引发严重的安全问题。SQL注入的基本手法之一，就是利用对单引号未加过滤的安全漏洞。

用户的输入无非两个用途：对数据库操作或显示在页面上，下面分别对这两种情况下特殊字符的处理加以说明。

1. 对数据库操作
用户输入的数据用于对数据库进行操作时，又分为两种情况，一是进行写库操作，二是作为查询条件。

1.1 写库操作
(insert及update都视为写库操作，这果以insert为例说明，update的处理相同)
一般采用insert语句或AddNew方法两种方式进行写库操作，我们先来看insert语句:

DIM username,sqlstr
username = trim(Request.Form("uname"))
sqlstr = "insert into [userinfo] (username) values (''"& username &"'')"

以SQL Server为例，使用这种方式写库，如果username中含用单引号('')，会出错。使用下面的自定义函数，可以将单引号进行转换：

Rem 转换SQL非法字符
function SQLEncode(fString)
if isnull(fString) then
SQLEncode = ""
exit function
end if
SQLEncode=replace(fString,"''","''''")
end function

以上函数将一个单引号转换为两个连续的单引号，数据库能够接受，并以一个单引号写入。SQL语句改为：

sqlstr = "insert into [userinfo] (username) values (''"& SQLEncode(username) &"'')"

再来看AddNew方法：

DIM username
username = trim(Request.Form("uname"))
''MyRst为Recordset对象，MyConn为Connection对象
MyRst.open "[userinfo]",MyConn,0,3
MyRst.AddNew
MyRst("username").Value = username
MyRst.Update
MyRst.Close

使用这种方式写库时，不必调用SQLEncode()对单引号进行转换，数据库会自行处理。

对于存储过程的的参数，同样不必进行单引号的转换。

建议大家利用存储过程进行操作，好处嘛，我在《ASP与存储过程》一文中已做了阐述。否则，建议使用AddNew方法写库，好处不仅仅在于避免对单引号进行处理，本文对此不作深入探讨。

1.2 用户输入做为查询条件
如果用户输入的数据作为查询条件出现在where子句中，不论该where子句属于update语句、delete语句还是select语句，都要对单引号进行转换。

2. 用户输入的数据作为输出，显示在页面上
我

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

1 2 3 下一页

分享到：更多

你可能对下面的文章感兴趣

上一篇: ASP实例:ASP+AJAX制作无刷新新闻评论系统下一篇: ASP教程:ASP是不区分大小写

关于 SQL关于特殊字符处理的基本方法的所有评论

随机推荐