asp与access数据库链接问题
我VB学得不好,也不知道下面这个问题能不能实现,请教下大家!<%s1=Request.Form("s1")s2=Request.Form("s2")s3=Request....
我VB学得不好,也不知道下面这个问题能不能实现,请教下大家!
<%
s1=Request.Form("s1")
s2=Request.Form("s2")
s3=Request.Form("s3")
Set link=Server.CreateObject("ADODB.Connection")
link.open "driver={Microsoft Access Driver (*.mdb)};dbq=" & Server.MapPath("Database1.mdb")
set rs=server.CreateObject("ADODB.Recordset")
sql="select * from (1) where (2)=(3)"//就是这里,该怎么写,我想(1)为s1,(2)为s2,(3)为s3的数据呢! 展开
<%
s1=Request.Form("s1")
s2=Request.Form("s2")
s3=Request.Form("s3")
Set link=Server.CreateObject("ADODB.Connection")
link.open "driver={Microsoft Access Driver (*.mdb)};dbq=" & Server.MapPath("Database1.mdb")
set rs=server.CreateObject("ADODB.Recordset")
sql="select * from (1) where (2)=(3)"//就是这里,该怎么写,我想(1)为s1,(2)为s2,(3)为s3的数据呢! 展开
展开全部
不知道你的系统的安全要求如何,但是如果是网页的表单的话,以上的几种写法
sql="select * from " & s1 & " where " & s2 & "=" & s3
和
sql="select * from " & s1 & " where '" & s2 & "'= '" & s3 &"' "
是很容易被黑客攻击的。
首先,在SQL语句中最好不要使用用户可以输入的变量代替表名(s1)和字段名(s2),因为数据库有些表可能储存密码之类,容易让黑客盗用。
其次,SQL注入也是黑客的常用手段,例如这个语句
sql = "select * from users where id = '" & userID & "' "
假如userID是用户可以自由输入的。一般用户可能输入:1,那么这个语句变成
select * from users where id = '1' 是没有问题的。
但是某些黑客可能输入:1' or '1' = '1
这样语句就变成
select * from users where id = '1' or '1' = '1'
这样就盗取了所有用户的信息。漏洞严重时甚至可能出现整个数据库的数据被删除的情况。
最安全的写法是
sql = "select * from users where (id = '" & Replace(userID, "'", "''") & "')"
这种写法不存在SQL注入的漏洞。
sql="select * from " & s1 & " where " & s2 & "=" & s3
和
sql="select * from " & s1 & " where '" & s2 & "'= '" & s3 &"' "
是很容易被黑客攻击的。
首先,在SQL语句中最好不要使用用户可以输入的变量代替表名(s1)和字段名(s2),因为数据库有些表可能储存密码之类,容易让黑客盗用。
其次,SQL注入也是黑客的常用手段,例如这个语句
sql = "select * from users where id = '" & userID & "' "
假如userID是用户可以自由输入的。一般用户可能输入:1,那么这个语句变成
select * from users where id = '1' 是没有问题的。
但是某些黑客可能输入:1' or '1' = '1
这样语句就变成
select * from users where id = '1' or '1' = '1'
这样就盗取了所有用户的信息。漏洞严重时甚至可能出现整个数据库的数据被删除的情况。
最安全的写法是
sql = "select * from users where (id = '" & Replace(userID, "'", "''") & "')"
这种写法不存在SQL注入的漏洞。
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
要看他们是什么数据类型.
数字型:
sql="select * from " & s1 & " where " & s2 & "=" & s3
文本型:
sql="select * from " & s1 & " where '" & s2 & "'= '" & s3 &"' "
数字型:
sql="select * from " & s1 & " where " & s2 & "=" & s3
文本型:
sql="select * from " & s1 & " where '" & s2 & "'= '" & s3 &"' "
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
知道你的系统的安全要求如何,但是如果是网页的表单的话,以上的几种写法
sql="select * from " & s1 & " where " & s2 & "=" & s3
和
sql="select * from " & s1 & " where '" & s2 & "'= '" & s3 &"' "
是很容易被黑客攻击的。
首先,在SQL语句中最好不要使用用户可以输入的变量代替表名(s1)和字段名(s2),因为数据库有些表可能储存密码之类,容易让黑客盗用。
其次,SQL注入也是黑客的常用手段,例如这个语句
sql = "select * from users where id = '" & userID & "' "
假如userID是用户可以自由输入的。一般用户可能输入:1,那么这个语句变成
select * from users where id = '1' 是没有问题的。
但是某些黑客可能输入:1' or '1' = '1
这样语句就变成
select * from users where id = '1' or '1' = '1'
这样就盗取了所有用户的信息。漏洞严重时甚至可能出现整个数据库的数据被删除的情况。
最安全的写法是
sql = "select * from users where (id = '" & Replace(userID, "'", "''") & "')"
这种写法不存在SQL注入的漏洞。
我支持这为老大的
sql="select * from " & s1 & " where " & s2 & "=" & s3
和
sql="select * from " & s1 & " where '" & s2 & "'= '" & s3 &"' "
是很容易被黑客攻击的。
首先,在SQL语句中最好不要使用用户可以输入的变量代替表名(s1)和字段名(s2),因为数据库有些表可能储存密码之类,容易让黑客盗用。
其次,SQL注入也是黑客的常用手段,例如这个语句
sql = "select * from users where id = '" & userID & "' "
假如userID是用户可以自由输入的。一般用户可能输入:1,那么这个语句变成
select * from users where id = '1' 是没有问题的。
但是某些黑客可能输入:1' or '1' = '1
这样语句就变成
select * from users where id = '1' or '1' = '1'
这样就盗取了所有用户的信息。漏洞严重时甚至可能出现整个数据库的数据被删除的情况。
最安全的写法是
sql = "select * from users where (id = '" & Replace(userID, "'", "''") & "')"
这种写法不存在SQL注入的漏洞。
我支持这为老大的
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
sql="select * from " & s1 & " where " & s2 & "=" & s3
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
sql="select * from '"&s1&"' where '"&s2&"'='"&s3&"'"
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(3)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
