使用参数化查询防止参数篡改

时间:2016-05-07 12:47:27

标签: parameters asp-classic parameterized tampering

是否可以通过在经典asp中使用参数化查询来防止参数篡改。如果它不是什么阻止它的正确方法?

谢谢。

1 个答案:

答案 0 :(得分:0)

假设您使用ADODB进行SQL查询,可以像下面这样对它们进行参数化:

<%
    Set conn = Server.CreateObject("ADODB.Connection")
    conn.Open "some connection string"

    set cmd = Server.CreateObject("ADODB.Command")
    cmd.ActiveConnection = conn
    cmd.CommandText = "SELECT * FROM some_table WHERE id = ?"
    cmd.CommandType = adCmdText
    cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, request("id"))

    set rs = cmd.Execute
    ...
%>

在此示例中,查询中的id参数是参数化的,因为它来自用户输入(request("id"))。

相关问题
最新问题