网络上很多,但是都没说怎么使用? 如果我有个这样的~ www.www.com/read.asp?type=中文 那么这样怎么防止注入?
第1个回答 2019-07-12
1
根据类型来过滤
比如只能输入数字,那么你就写个函数来判断request.querystring("type")是否为数字。同时还要判断这个数字是否超过了最大上限。
如果是字符串,那么你要过滤掉sql里面敏感的字符,比如单引号,双引号之类。
2过滤sql文
你写的是
select
*
from
username
where
type=
"&
type
要使用户type
为
"1
or
type=admin",你猜猜是什么结果?
----------
防止注入概括起来其实就是
1
类型检查
2
变量范围检查
3
特殊字符过滤
4
sql关键字过滤
根据类型来过滤
比如只能输入数字,那么你就写个函数来判断request.querystring("type")是否为数字。同时还要判断这个数字是否超过了最大上限。
如果是字符串,那么你要过滤掉sql里面敏感的字符,比如单引号,双引号之类。
2过滤sql文
你写的是
select
*
from
username
where
type=
"&
type
要使用户type
为
"1
or
type=admin",你猜猜是什么结果?
----------
防止注入概括起来其实就是
1
类型检查
2
变量范围检查
3
特殊字符过滤
4
sql关键字过滤