UC知道怎样在ASP网页中根据用户ID删除用户信息?
来源:百度知道 编辑:UC知道 时间:2024/06/18 09:20:32
<%
sql="delete * from jobs where id ="&request("id")&"
rs.open sql,conn,3,3 %>
这样删除怎么会出现错误?
请哪位高手告诉我
sql="delete * from jobs where id ="&request("id")&"
rs.open sql,conn,3,3 %>
这样删除怎么会出现错误?
请哪位高手告诉我
获取当前信息的ID,点删除把ID传输给删除的页面,删除页面接受传输过来的ID执行删除!
不过你写的有错误 这样写
<%
sql="delete * from jobs where id ="&request("id")
rs.open sql,conn,3,3
%>
sunthank的写法会造成SQL注入漏洞。
假设用户提交 delete.asp?id=1 or 1=1 ,会发生什么?
SQL语句变成了 DELETE * FROM jobs WHERE id=1 OR 1=1 ,所有记录都删光了。
应该写成:
sql="delete * from jobs where id="&CLng(request("id"))
将id参数转换成数字。
这个是管理的页面吧,要是用户有权限删除,那他也可以删除其他的记录..