In diesem Artikel werden hauptsächlich Beispiele für die Ausführung von SQL-Anweisungen durch ASP mit Parametern vorgestellt, mit denen SQL-Injection-Schwachstellen wirksam verhindert werden können.
Asp führt eine SQL-Anweisung mit Parametern aus. Sie müssen der SQL-Anweisung Parameter hinzufügen, die die SQL-Injection effektiv abschirmen können.
Kopieren Sie den Codecode wie folgt:var conn = Server.CreateObject(ADODB.Connection);
conn.ConnectionString = Provider=Microsoft.Jet.OLEDB.4.0;Data Source= + Server.MapPath(Test.mdb);
conn.Open();
var cmd = Server.CreateObject(ADODB.Command);
cmd.ActiveConnection = conn;
cmd.CommandType = 1;
cmd.CommandText = SELECT TOP 1 * FROM [User] WHERE UserName = ? AND Password = ?;
cmd.Parameters.Append(cmd.CreateParameter(@UserName, 200, 1, 20, user01));
cmd.Parameters.Append(cmd.CreateParameter(@Password, 200, 1, 16, 123456));
var rs = cmd.Execute();
Response.Write(rs(UserId).value);
rs.Close();
conn.Close();