EasyASP v2.2新功能介绍（1）：Easp是如何实现防sql注入的 - ASP教程

EasyASP v2.2的改动比较大，放弃了不少原来我觉得不好用的方法，当然， 更多的是加入了不少我觉得会用得很哈屁的新功能。这是这个系列的第一篇文章 ，准备讲讲EasyASP是如何防范SQL注入的。

说起防SQL注入，大家肯定又是各抒己见，这篇文章也并不打算作深入的探讨 ，我会从这个角度来讲EasyASP v2.2是如何防范SQL注入的。

1.找到注入点

首先，还是要看看在ASP可以从哪些方面得到注入机会（以下均基于VBScript ）。要使用ASP获取用户可以输入的数据，无非是这三个方面：

Request.QueryString
Request.Form
Request.Cookies

如果你的程序里没有对通过Request取得的数据进行处理而直接用在拼接的 SQL语句中，则基本上无法避免SQL注入的产生。所以，必须对参与SQL拼接的值 进行预先处理，但是又该如何处理呢？

2.处理注入字符

参照我比较赞同的上面那篇文章最后给出的结论，可以简单的这样理解如何 处理这些可能被注入的数据：

(1) 对于字符串型的数据，处理其中的单引号，将一个单引号换为两个单引 号；

(2) 对于数值型的数据，验证它是否是数字；

(3) 对于日期型的数据，验证它是否是日期型。

所以，ASP的防注入应该是在拼接SQL前对通过第1点取得的数据按第2点的方 法进行交叉处理，并返回可以被正确执行在SQL语句中的字符串。

【免责声明】本站内容转载自互联网，其相关言论仅代表作者个人观点绝非权威，不代表本站立场。如您发现内容存在版权问题，请提交相关链接至邮箱：bqsm@foxmail.com，我们将及时予以处理。