Wie führe ich eine parametrisierte SQL-Abfrage in classic ASP? Und ist es sicher?

Ich bin zu haben, um sich mit einigen SQL-code in der klassischen ASP-VBScript.

Habe ich zwei Fragen.

Erste, in .net, ich bin mit dem System.Daten.SqlClient-namespace-Objekte Abfragen ausführen. Zum Beispiel:

Dim conn as New SqlConnection("Data Source=MyServer;uid=myUid;pwd=myPwd;Initial Catalog=myDataBase;"  
Dim cmd as New SqlCommand("Select fname From myTable where uid=@uid;", conn)  
cmd.Parameters.add(New SqlParameter("@uid",100323)  
conn.open()
Response.Write(cmd.ExecuteScalar())
conn.Close()

Mir wurde gesagt, dass die Verwendung einer parametrisierten Abfrage als solche macht meiner Abfrage sichern von SQL injection-Angriffen.

Ich würde gerne wissen, was ist der entsprechende code zu tun, eine solche Abfrage in classic ASP mit VBScript und ähnliche Sicherheitsmaßnahmen müssen zum Schutz gegen SQL-injection.

InformationsquelleAutor Daniel Allen Langdon | 2010-08-26

  1. 6

    Gibt es ADODB-Objekte, die im Grunde die gleiche Sache.
    ADODB.Command-Objekt ist das äquivalent zu einem SqlCommand. Von dort aus ist es im Grunde das gleiche tun wie in .NET.

    set cmd = Server.CreateOject("ADODB.Command")
cmd.CommandText = "select From Table where ID = @id")
set param = cmd.CreateParameter("@id", adInteger, adInput,0,0)

    Verwende ich Häufig w3schools um Hilfe zu ADO-Objekte.

    Das funktioniert, ist aber etwas irreführend. Als adodb, dachte sogar, dass er von einem parameter namens @id, und die createParameter-Aufruf mit dem Namen "@id", ich glaube, es ist tatsächlich positioniert Parameter (wie wenn Sie nur mit ? ? ?). Also, wenn Sie mehrere Werte zu ersetzen, den Sie aufrufen MÜSSEN, createParameter(...) jedes mal, wenn in der entsprechenden Reihenfolge.

    InformationsquelleAutor bjorsig

Schreibe einen Kommentar