防止SQL注入

对传入的参数进行严格的检查就可以了，在乔客中，有许多现成的过程可以调用，如判断是不是整数：

id=trim(request.querystring("id"))
if not int_true(id) then
  call format_redirect("gallery.asp")
end if

对搜索输入项目的处理：

  call format_search("topic","topic,username,author,keyes",2,1)

对入库项目的处理：
文本：    name=code_admin("name",1,50)
用户名：if symbol_name(username)=false then username=login_username
数字：counter=code_int("counter",1,0)
Email：
    if email_ok(email,50)=false then
      call admin_error("电子邮件（"&email&"） 为空或不符合规则！")
      rs.close
      exit sub
    end if
时间：
    tim=code_admin("tim",1,20)
    tim=joekoe_cms.time_type(tim,1)
    if tim="" then tim=joekoe_cms.now_time
……
经过格式化的传入项目，再进行数据库操作，基本上没有sql漏洞了。


[ads:view.banner]
IP 操作 Top [ads:view.text]



http://www.joekoe.com/forum/view_64664.html

文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
相关日志: