1

我正在为我们当地的一个俱乐部写一个网站。我已经将所有用 ASP 编写的站点链接到我们的后端 SQL 服务器,它运行良好。我现在想创建玩家资料。通常我会使用 "(a href=playerdetails.asp?ID=1) Player 1 (/a)" 然后在页面的 ASP 部分使用 strsql = "SELECT * FROM Players Where ID=" & request.querystring(" ID”)。

但是,这是我的问题开始的地方。为了为俱乐部省钱,我还在我的私人域上为他们托管了网站。我们已经在那里注册了域,而不是支付托管费用,我们只是通过域注册 URL 转发重定向流量,使用屏蔽。因此,URL 不是 www.mydomain.com/club/,而是 www.club.com。

因此最初的问题......我可以在我们拥有的设置中使用 request.querystring 吗?如果没有,有没有办法解决这个问题,因为俱乐部实际上并没有在后端使用 SQL 的托管站点的预算。

提前致谢,

保罗。

链接中的 PS < 替换为 ( 以正确显示。

4

1 回答 1

0

有几件事:

URL Masking 使用框架来隐藏实际的 URL。您仍然可以在 URL 中使用查询字符串值,但是您不会看到地址栏中的 URL 发生变化,因为它始终是 www.club.com 对 URL 屏蔽所做的。

http://en.wikipedia.org/wiki/Domain_Masking

其次,您正在向 SQL 注入攻击开放您的站点:

  • 永远不要相信用户输入
  • 切勿在 SQL 状态中使用 Request.QueryString 或 Request.Form 而不过滤掉坏字符和关键字。

http://en.wikipedia.org/wiki/SQL_injection

于 2011-08-20T16:16:44.310 回答