0
我有一個用傳統的ASP編寫的表單,有一些輕客戶端驗證。除了一件事以外,一切都很好 - 當有撇號時,表單失敗。其中一個字段可能經常有撇號(例如,如果用戶的姓氏是O'Brien,則姓氏字段將失敗)。窗體 - 需要允許爲撇號
我該如何解決這個問題?
A
回答
1
您必須檢查您的ASP代碼。如果你看到任何代碼看起來像
string SQL =
"SELECT user_id, first_name,last_name FROM users WHERE username = "
+ myUserName;
其中myUserName來自用戶,那麼你肯定是脆弱的。
未修復該試圖逃跑的輸入(即,全部替換「'」和‘‘’’),但使用這篇文章中概述了SQL Injection and how to avoid it
一言以蔽之一個完全不同的方法,請從bobby-tables網站嘗試類似以下內容
String username = "joe.bloggs";
SqlCommand sqlQuery = new SqlCommand(
"SELECT user_id, first_name,last_name FROM users WHERE username = ?username",
sqlConnection);
sqlQuery.Parameters.AddWithValue("?username", username);
+0
非常感謝!在輸入字段到數據庫之前,我最終創建了一個刪除撇號的函數..(在我看到您的答案之前)。我也會測試一下,看看我是否可以實現它,因爲我一直在努力學習。非常感謝你的幫助! – 2013-05-08 20:08:58
相關問題
- 1. mysql_real_escape_string(),但允許帶撇號的名字
- 2. 允許在SQL中使用撇號
- 3. 允許撇號匹配驗證
- 4. 如何允許在asp.net網站撇號
- 5. 需要示例代碼爲撇號CMS 2.0中的撇號模式
- 6. Symfony窗體 - 允許刪除嵌套窗體關聯實體
- 7. 如何在htaccess RewriteRule正則表達式中允許撇號?
- 8. 正則表達式允許撇號僅用於話帶S
- 9. 使用ctype_alpha時允許使用撇號嗎?
- 10. 爲什麼在Clojure中使用conj的列表需要撇號?
- 11. Django窗體URLField允許空方案
- 12. 允許像素滾動的窗體c#?
- 13. 需要javascript函數允許逗號和空格
- 14. Javascript函數需要允許數字,點和逗號
- 15. 的.htaccess ID = __需要修改htaccess的,以允許任何id號
- 16. 通過HTMLPurifier + CSStidy允許媒體查詢需要做什麼?+ CSStidy
- 17. MDI子窗體不允許其他子窗體獲得焦點
- 18. Oracle對撇號的需求
- 19. 需要允許使用RoR的
- 20. 需要激活子窗體
- 21. 右單撇號與撇號?
- 22. 需要阿賈克斯的Json提交允許單引號和雙引號
- 23. 撇號和NSString的反向撇號
- 24. CLIPS:允許符號
- 25. 與號在APP_NAME不允許
- 26. Web窗體中的奇怪撇號問題> SQL Server
- 27. UIScrollView行爲如何不允許水平滑動當我需要
- 28. iphone sdk,撇號顯示爲問號
- 29. 我需要撇號在變量結果MYSQL
- 30. jQuery允許手機號碼的具體號碼
以何種方式失敗?您是否看到錯誤消息,或者(更可能)您有[SQL注入](http://bobby-tables.com/)問題? – 2013-05-08 19:32:28
我在輸入數據到數據庫的頁面上得到http 500錯誤 - 我禁用了http友好錯誤,但仍然得到了這個。我認爲這是SQL注入問題,只是不知道如何解決這個問題。 – 2013-05-08 19:34:06
作爲FYI ..我有點熟悉替換(request.form(「LName」),「'」,「''」),但不確定如何實現它...沒有找到任何地方的例子。 – 2013-05-08 19:37:06