IIS 6.0 服务器和 Unicode 字符

Question

我们正在对使用 MS SQL 数据库的简单 asp 应用程序执行笔测试。对于身份验证，他们似乎使用动态构造的查询，但转义单引号。 当我们使用 Unicode 引号（如 %uFFO7、%u02b9 等）时，我们能够成功注入 SQL 注入。 想了解是否更多的是 IIS 服务器对 Unicode 字符进行规范化的配置问题，或者转义单引号的验证函数的编写方式是问题的原因？

Answer 1

有 ASP 代码示例吗？据我了解，编码是由 IIS 完成的，但那是为了传输，实际上不会被看到，所以它们的转义功能可能有缺陷。如果他们构建动态 SQL 字符串而不是使用存储过程（无论如何，存储过程不会关心引号，但会接受它们作为文字字符），则尤其如此。