如果您有一個變數, 確定 URL 輸入時, 必需是數字, 可以使用 isNumeric 來做數字的驗證, 降低被 SQL Injection 滲透的機率.
asp code
--------------------------
id = "123"
response.write "(" & id & "): " & isNumeric(id)
執行完的結果如下:
--------------------------
(123): True
(+123): True
(-123): True
(1+23): False
(12-3): False
(1*23): False
(12/3): False
(12\3): False
(&123): True
(&dir): False
($123): False
(0x123): False
(1=23): False
(1=1): False
--------------------------
結論:
確定是數字的變數, 可以多增加一個 isNumeric() 來做前置檢查.
確定是 text 的欄位, 可以多增加一個檢查輸入的句字中, 是不有包含不允許使用的 SQL command.
沒有留言:
張貼留言