Este artigo apresenta principalmente exemplos de execução de instruções SQL em ASP com parâmetros. Instruções SQL parametrizadas podem prevenir efetivamente vulnerabilidades de injeção de SQL.
Asp executa uma instrução SQL com parâmetros. Você precisa adicionar parâmetros à instrução SQL, que podem proteger efetivamente a injeção de SQL.
Copie o código do código da seguinte forma:var conexão = Server.CreateObject(ADODB.Connection);
conn.ConnectionString = Provider=Microsoft.Jet.OLEDB.4.0;Fonte de dados= + Server.MapPath(Test.mdb);
conexão.Open();
var cmd = Server.CreateObject(ADODB.Command);
cmd.ActiveConnection = conexão;
cmd.CommandType = 1;
cmd.CommandText = SELECIONE TOP 1 * FROM [Usuário] WHERE UserName = ? AND Senha = ?;
cmd.Parameters.Append(cmd.CreateParameter(@UserName, 200, 1, 20, user01));
cmd.Parameters.Append(cmd.CreateParameter(@Password, 200, 1, 16, 123456));
var rs = cmd.Execute();
Response.Write(rs(UserId).valor);
rs.Fechar();
conexão.Fechar();