如何将ADODB.CommandObject与ADODB.RecordSet一起使用?

时间:2013-03-28 09:43:10

标签: asp-classic vbscript adodb parameterized

我试图通过参数化SQL语句来使Classic ASP / VBScript网站更安全。

我有以下功能:

Function OpenUpdateableRS(strSQL)
    Dim rs
    Set rs = Server.CreateObject("ADODB.Recordset")
    rs.Open strSQL, cnDZ, adOpenKeyset, adLockPessimistic, adCmdText
    Set OpenUpdateableRS = rs
    Set rs = Nothing
End Function

我打算将其转换为:

Function SecureOpenUpdateableRS(strSQL, strParam1, strParam2)
    Dim rs
    Dim cmdOB
    Set cmdOB = Server.CreateObject("ADODB.CommandObject")
    With cmdOB
        .ActiveConnection = cnDZ
        .CommandText = strSQL
        .Parameters(0).value = strParam1
        .Parameters(0).value = strParam2
    End With
    Set rs = Server.CreateObject("ADODB.Recordset")
    rs.Open cmdOB.Execute, , adOpenKeyset, adLockPessimistic
    Set SecureOpenUpdateableRS = rs
    Set rs = Nothing
End Function

当我用以下方式调用该功能时:

Set rs = SecureOpenUpdateableRS("SELECT CustID, LastActive, LoggedIn, SessionID FROM tblLogins WHERE EMail = ? AND PWord = ?", strEMail, strPassword)

我收到“500 - 内部服务器错误”,这可能是因为我在服务器上禁用了调试 关于如何在不破坏它的情况下使原始功能更安全的任何想法?

1 个答案:

答案 0 :(得分:1)

您必须创建参数并将它们附加到命令的参数集合中。只是将值分配给(相同!)参数是不可能的。 Google提供样本;也许this VB! sample会让你开始。

<强>加了:

我可以想到两种策略来推导参数类型:

  1. 如果将正确/最大指定的参数值传递给函数,则可以将VarType(value)常量映射到参数类型常量
  2. 如果根据命令文本中的字段名执行SELECT,则可以将记录集的字段.Type映射到参数类型常量

    3. 在所有可能的情况下做到这一点并非易事。我会将一对值和所需类型传递给函数。

相关问题
最新问题