今天学校让解决一个sql注入的问题,提出的需求是进行参数化。然后在网上找了好多代码都不行,有一篇对我的帮助很大
然后我们本来的代码是这样的
<% id=trim(request("id"))
exec2="select * from news where id="&id
set rs=server.createobject("adodb.recordset")
rs.open exec2,conn,1,1
%>
按照博客里面说的也会出现问题,我最后改成了这样的格式就没有问题了。
Dim rs, cmd, cn
Set cmd = Server.CreateObject( "ADODB.Command" )
With cmd
.ActiveConnection = conn
.CommandText = "select * from news where id=?"
.Prepared = True
.Parameters( 0 ).Value =id
Set rs = .Execute
End With
希望对大家有所帮助
一定要把commendType删了,不然不行的啊