我使用一個變量在ASP內插,爲了這個,我有一個vairable:可變插在ASP,ADO
cid=Request.Form("customerID")
然後,
rs.open "SELECT * FROM customers WHERE customerID='" & cid & "'",conn
上述聲明不起作用。
而這個工程:
rs.open "SELECT * FROM customers WHERE customerID=1",conn
能有人幫我嗎?
這應該如果工作'cid'是'1',你驗證了嗎?這是易受sql注入。它的失效模式是什麼? –
一個簡單的方法來保護該注射攻擊片段將是'cid = Cint(Request.Form(「customerID」))' - 假設customerID是一個數字 – John