如何在经典 ASP 中运行参数化 SQL 查询?它安全吗?
我将不得不处理经典 ASP VBScript 中的一些 SQL 代码。
我有两个问题。
首先,在.net中,我习惯使用System.Data.SqlClient命名空间对象来执行查询。例如:
Dim conn as New SqlConnection("Data Source=MyServer;uid=myUid;pwd=myPwd;Initial Catalog=myDataBase;"
Dim cmd as New SqlCommand("Select fname From myTable where uid=@uid;", conn)
cmd.Parameters.add(New SqlParameter("@uid",100323)
conn.open()
Response.Write(cmd.ExecuteScalar())
conn.Close()
有人告诉我,使用参数化查询本身可以使我的查询免受 SQL 注入攻击。
我想知道在经典 ASP 中使用 VBScript 执行此类查询的等效代码是什么,以及必须使用哪些类似的安全预防措施来防止 SQL 注入。
I'm about to have to deal with some SQL code in classic ASP VBScript.
I have two questions.
First, in .net, I'm used to using the System.Data.SqlClient namespace objects to perform queries. For example:
Dim conn as New SqlConnection("Data Source=MyServer;uid=myUid;pwd=myPwd;Initial Catalog=myDataBase;"
Dim cmd as New SqlCommand("Select fname From myTable where uid=@uid;", conn)
cmd.Parameters.add(New SqlParameter("@uid",100323)
conn.open()
Response.Write(cmd.ExecuteScalar())
conn.Close()
I've been told that using a parameterized query as such makes my query secure from SQL injection attacks.
I'd like to know what is the equivalent code to do such a query in classic ASP with VBScript and what similar security precautions must be used to guard against SQL injection.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
有些 ADODB 对象基本上做同样的事情。
ADODB.Command 对象相当于SqlCommand。从这里开始,它基本上与 .NET 中的操作相同。
我经常使用 w3schools 获取有关 ADO 对象的帮助。
There are ADODB Objects which do basically the same thing.
ADODB.Command object is the equivalent to SqlCommand. From there it is basically doing the same as in .NET.
I frequently use w3schools for help about ADO objects.