UC知道不显示错误信息能防止sql 注入吗
来源:百度知道 编辑:UC知道 时间:2024/06/22 09:50:51
除了不显示错误信息之外
我自己做了一个类
对url中的变量进行加密(自己设计的密码序列)
这样一来,还有可能受到 sql 注入攻击吗.
(在get方式时不想用过滤url这个办法)
我自己做了一个类
对url中的变量进行加密(自己设计的密码序列)
这样一来,还有可能受到 sql 注入攻击吗.
(在get方式时不想用过滤url这个办法)
'对变量加密不能有效解决SQL注入问题。
对于GET类型获取的数据可以有一定的防范作用,但对于POST数据则无能为力。
加密只能加密你的变量类型,对于数据部分就显得比较薄弱。注入漏洞就是利用数据部分进行的,将非法的数据格式提供给你的变量。
建议你还是在加强对数据的检测后再进行加密处理会有好的效果。
可以。
对接收数据做个过滤即可。
如:
’对数据进行HTMLENCODE处理函数(可能无法显示正确,BAIDU格式话了^_^,主要是处理特殊字符)
function lq_code_html(lq_code_html_tmp)
if not isnull(lq_code_html_tmp) then
lq_code_html_tmp=server.htmlencode(lq_code_html_tmp)
lq_code_html_tmp=replace(lq_code_html_tmp,"\","\")
lq_code_html_tmp=replace(lq_code_html_tmp,"'","'")
lq_code_html_tmp=replace(lq_code_html_tmp,vbCrlf,"<br>")
lq_code_html = lq_code_html_tmp
end if
end function
id=Lq_Code_HTML(Request("id"))
'做格式判断,此时传递过来的数据如不是数字就初始化为0,使非法传递的数据无效。
if not isnumeric(id) then
id=0
else
id=Clng(id)
end if