查人人中国名人网魔女之泉3满屋灰尘的:Sql Injection 漏洞修补问题
来源:百度文库 编辑:查人人中国名人网 时间:2024/04/27 00:38:25
这段代码据说有漏洞,如果用上就会出现SQL INJECTION 类型的漏洞,需要 调整
原代码如下
<%
ShowSmallClassType=ShowSmallClassType_Article
dim ArticleID
ArticleID=trim(request("ArticleID"))
if ArticleId="" then
response.Redirect("Product.asp")
end if
sql="select * from Product where ArticleID=" & ArticleID & ""
Set rs= Server.CreateObject("ADODB.Recordset")
rs.open sql,conn,1,3
if rs.bof and rs.eof then
response.write"<SCRIPT language=JavaScript>alert('找不到此产品!');"
response.write"javascript:history.go(-1)</SCRIPT>"
else
rs("Hits")=rs("Hits")+1
rs.update
if rs("hits")>=HitsOfHot then
rs("Hot")=True
rs.update
end if
BigClassName=rs("BigClassName")
SmallClassName=rs("SmallClassName")
%>
请问应该如何调整?本人对SQL不是很熟悉,请高手回复修改过后的代码,如能正常运行,我追加30分
原代码如下
<%
ShowSmallClassType=ShowSmallClassType_Article
dim ArticleID
ArticleID=trim(request("ArticleID"))
if ArticleId="" then
response.Redirect("Product.asp")
end if
sql="select * from Product where ArticleID=" & ArticleID & ""
Set rs= Server.CreateObject("ADODB.Recordset")
rs.open sql,conn,1,3
if rs.bof and rs.eof then
response.write"<SCRIPT language=JavaScript>alert('找不到此产品!');"
response.write"javascript:history.go(-1)</SCRIPT>"
else
rs("Hits")=rs("Hits")+1
rs.update
if rs("hits")>=HitsOfHot then
rs("Hot")=True
rs.update
end if
BigClassName=rs("BigClassName")
SmallClassName=rs("SmallClassName")
%>
请问应该如何调整?本人对SQL不是很熟悉,请高手回复修改过后的代码,如能正常运行,我追加30分
要预防注入漏洞,你就要判断你的SQL语句里输入AriticleID的用户输入,判断是否有单引号,是否有违禁的字符串等等,有的话就过滤或者报错,这样可以最大限度的避免