ASP编程:再谈ASP避免SQL Injection毛病的成绩
缺乏可以共同遵循的行业标准,ASP还处在发展初期,大家对它的理解不同,如产品和服务标准,收费标准等,不利于行业的健康发展。成绩再谈ASP避免SQLInjection毛病的成绩/**
慈勤强
Email:cqq1978@Gmail.com
*/
关于Asp的SQLInjection防备成绩,仿佛已没甚么可说的了。在我做的Asp的项目内里,
都是用本人写的函数来处置客户端提交出去的数据,我的Blog内里也贴过这个函数。
详细能够参考http://blog.csdn.net/cqq/archive/2004/09/23/113786.aspx
不外,从伴侣的留言和网上其他的一些讲怎样提防SQLInjection的函数来看,良多人都走进了一个误区。
SQLInjection的伤害是很年夜的,好比关于SQLServer,能够创立、删除数据库,实行体系命令等等,如
droptabletbl_name,executemaster.dbo.xp_cmdshell"command"
以是良多人写的函数就是冒死的往过滤这些大概引发伤害的关头词,好比drop,分号,and,exe,mid等等,排列了
一年夜堆。
实在,尽能够不用那末烦琐,非要把复杂的事变庞大化。
关于过滤,ASP中只需针对字符型和数字型分离处置就能够了,
字符型的,把单引号转换成两个单引号strTmp=Replace(Trim(str),"","")
数字型的,就判别是不是可以转换成数字型的,用isNumeric函数
如今网上说的可以绕过单引号的打击,实际上是针对数字范例的
假如关于过滤了单引号的字符型,另有举措绕过,那就没得玩了........
</p>减少客户内IT专业人才缺乏带来的影响。ASP的客户员工利用浏览器进入相关的应用软件,简单易用,无需专业技术支持。 如何更好的使自己的东西看上去很不错等等。其实这些都不是问题的实质,我们可以在实践中不断提升自己,不断充实自己。 在平时的学习过程中要注意现学现用,注重运用,在掌握了一定的基础知识后,我们可以尝试做一些网页,也许在开始的时候我们可能会遇到很多问题,比如说如何很好的构建基本框架。 虽然ASP也有很多网络教程。但是这些都不系统。都是半路出家,只是从一个例子告诉你怎么用。不会深入讨论,更不会将没有出现在例子里的方法都一一列举出来。 兴趣爱好,那么你无须学编程,申请一个域名和空间,在网上下载一些免费开源的CMS系统,你不用改代码,只须熟悉它们的后台操作,像office一样简单方便,很快就能建一个站点,很多站长都是这样做的 尽管MS自己讲C#内核中更多的象VC,但实际上我还是认为它和Java更象一些吧。首先它是面向对象的编程语言,而不是一种脚本,所以它具有面向对象编程语言的一切特性,比如封装性、继承性、多态性等等,这就解决了刚才谈到的ASP的那些弱点。 代码逻辑混乱,难于管理:由于ASP是脚本语言混合html编程,所以你很难看清代码的逻辑关系,并且随着程序的复杂性增加,使得代码的管理十分困难,甚至超出一个程序员所能达到的管理能力,从而造成出错或这样那样的问题。 代码的可重用性差:由于是面向结构的编程方式,并且混合html,所以可能页面原型修改一点,整个程序都需要修改,更别提代码重用了。 完全不知道到底自己学的是什么。最后,除了教程里面说的几个例子,还是什么都不会。 以上是语言本身的弱点,在功能方面ASP同样存在问题,第一是功能太弱,一些底层操作只能通过组件来完成,在这点上是远远比不上PHP/JSP,其次就是缺乏完善的纠错/调试功能,这点上ASP/PHP/JSP差不多。 交流是必要的,不管是生活还是学习我们都要试着去交流,通过交流我们可以学到很多我们自己本身所没有的知识,可以分享别人的经验甚至经历。 作为IE上广为流传的动态网页开发技术,ASP以它简单易学博得了广大WEB程序爱好这的青睐,而且它对运行环境和开发品台的不挑剔,以及有大量有效的参考手册,极大的推广了它的发展。
页:
[1]