0

是否可以通过在经典 asp.xml 中使用参数化查询来防止参数篡改?如果不是,那么防止它的正确方法是什么?

谢谢你。

4

1 回答 1

0

假设您正在使用ADODB进行 SQL 查询,您可以像这样对它们进行参数化:

<%
    Set conn = Server.CreateObject("ADODB.Connection")
    conn.Open "some connection string"

    set cmd = Server.CreateObject("ADODB.Command")
    cmd.ActiveConnection = conn
    cmd.CommandText = "SELECT * FROM some_table WHERE id = ?"
    cmd.CommandType = adCmdText
    cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, request("id"))

    set rs = cmd.Execute
    ...
%>

在此示例id中,查询中的参数被参数化,因为它来自用户输入 ( request("id"))。

于 2016-05-07T12:53:19.257 回答