传给SQLServer语句的输入数据验证
2007-11-11 07:22:06 来源:WEB开发网核心提示:网页通常是进行SQL查寻的输入数据的前台,也作为查寻结果返还的界面,传给SQLServer语句的输入数据验证,许多网络程序员还不熟悉如何将输入数据转换为一个SQL语句, 同时他们也忘记了没有预处理,除了造成SQL失败的结果外,另一个这种错误的严重副作用是一个恶意的聪明用户可以利用这种错误,数据不能按SQL语句原样传给网
网页通常是进行SQL查寻的输入数据的前台,也作为查寻结果返还的界面,许多网络程序员还不熟悉如何将输入数据转换为一个SQL语句, 同时他们也忘记了没有预处理,数据不能按SQL语句原样传给网页的原则。
当用户数据传给SQL语句时, 最常见的错误通常是这样的:strUserData=request.form("T1")
strSQLData="select Name from UserNames where Name='" & strUserData & '"
这里strSQLData是被用于SQL语局去检索数据库(这个特别的例子是用VBScript写的,但对于任何检索数据库的脚本语言都是可行的)。
表面上看这种结构没有什么问题,但如果传给form T1的字符串包含单引号(转换为变量strUserData), 如象David's Friend的字符串,SQL语句就会报错。
原因很简单:单引号用来在SQL语句中描述字符串数据。在上面的例子中,变量strUserData中的单引号会被当成语巨中Name='部分的结束符,而不是相应的字符串。
解决方法是用两个单引号替代单个单引号,这样David's Friend可以变成 David''s Friend, 整个字符串会变为:Select Name from UserNames where Name='David''s Friend'
在网页上解决这个问题的方法是写一个函数来永久性用两个单引号替代单个单引号。
Function Quotes(strInput)
strInput=replace(strInput,"'","''")
End Function
这个函数可以被放到任何有sql server(WINDOWS平台上强大的数据库平台)检索的网页中strUserData=Quotes(request.form("T1"))
输入数据在传给sql server(WINDOWS平台上强大的数据库平台)前应当以这种方式进行净化, 如何完成这点取决于使用的脚本语言种类。
除了造成SQL失败的结果外,另一个这种错误的严重副作用是一个恶意的聪明用户可以利用这种错误, 让sql server(WINDOWS平台上强大的数据库平台)执行破坏性的代码。
- ››sqlserver 每30分自动生成一次
- ››sqlserver安装和简单的使用
- ››SqlServer触发器、存储过程和函数
- ››SQLServer建立交叉表查询
- ››SqlServer强制断开数据库连接的方法
- ››SQLServer 2005 海量数据解决方案
- ››SQLServer 2008数据库查看死锁、堵塞的SQL语句
- ››SqlServer 插入多条数据
- ››SQLServer 2008 R2导出的SQL文件中没有数据
- ››SQLSERVER通过游标查询两个数据表共有字段名组合成...
- ››sqlserver2008实现拼音首字母和随机n位数的生成
- ››SQLServer与Java数据类型对应表
更多精彩
赞助商链接