不显示错误信息能防止sql 注入吗
发布网友
发布时间:2022-04-23 06:28
共1个回答
热心网友
时间:2022-04-07 23:01
对于GET类型获取的数据可以有一定的防范作用,但对于POST数据则*为力。
加密只能加密你的变量类型,对于数据部分就显得比较薄弱。注入漏洞就是利用数据部分进行的,将非法的数据格式提供给你的变量。
建议你还是在加强对数据的检测后再进行加密处理会有好的效果。
可以。
对接收数据做个过滤即可。
如:
’对数据进行HTMLENCODE处理函数(可能无法显示正确,BAIDU格式话了^_^,主要是处理特殊字符)
function lq_code_html(lq_code_html_tmp)
if not isnull(lq_code_html_tmp) then
lq_code_html_tmp=server.htmlencode(lq_code_html_tmp)
lq_code_html_tmp=replace(lq_code_html_tmp,"\","\")
lq_code_html_tmp=replace(lq_code_html_tmp,"'","'")
lq_code_html_tmp=replace(lq_code_html_tmp,vbCrlf,"<br>")
lq_code_html = lq_code_html_tmp
end if
end function
id=Lq_Code_HTML(Request("id"))
'做格式判断,此时传递过来的数据如不是数字就初始化为0,使非法传递的数据无效。
if not isnumeric(id) then
id=0
else
id=Clng(id)
end if
