我的網站遭受SQL注入攻擊。我的網站開發人員拒絕承認參加遊說的查詢說他的轉義腳本已經足夠。有人可以請幫助通過顯示如何將以下經典asp寫入的查詢轉換爲一個參數化查詢?如何將此查詢轉換爲經典ASP中的參數化查詢?
conn.Execute "insert into tblGROUPcomments ([thecomment], [date_of_entry], [groupid], [submittedby]) " _
& "values ('" _
& Server.HTMLEncode(cleanuptext(request.form("txtcomments"))) & _
"','" & FormatMediumDate(date()) & _
"','" & session("groupid") & _
"','" & session("userid") & "')"
session("errmessageT") = ""
session("varcommentT") = ""
response.redirect("../showallcommentsGROUPS.asp?gid=" & session("groupid")) & "#comments"
什麼味道的SQL?這是SQL Server,oracle,IBM嗎?而且哪個版本也可能有所幫助。還有什麼是「逃生腳本」? – twoleggedhorse 2013-02-12 14:57:18
你是否搜索過?如果您搜索「防止ASP中的SQL注入」之類的東西,您會看到幾個例子。像這樣 - [如何:保護SQL注入在ASP.NET](http://msdn.microsoft.com/en-us/library/ff648339.aspx) – 2013-02-12 14:58:17
道歉我做了搜索,但我會更好地瞭解是否有人向我展示瞭如何轉換我的一個查詢。再次道歉。 – user2065107 2013-02-12 15:50:05