|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
大家可以自己去看一看.可以说看得想呕吐.以前有次下了个动网来看.里面连基本内置函数的保护措施(函数没防御性)都没有.难怪经常补这个补那个了.可能现在.NET版会好点吧数据|数据库|成绩|实行 在举行数据库的查询时,会常常碰到如许的情形:
比方想在一个用户数据库中查询他的用户名和他的暗码,但刚好该用户利用的名字和暗码中有特别的字符,比方单引号,“|”号
双引号大概连字符“&”。
比方他的名字是1test,暗码是A|&900
这时候当你实行以下的查询语句时,一定会报错:
SQL="SELECT*FROMSecurityLevelWHEREUID="&UserID&""
SQL=SQL&"ANDPWD="&Password&""
由于你的SQL将会是如许:
SELECT*FROMSecurityLevelWHEREUID=1test
ANDPWD=A|&900
在SQL中,"|"为支解字段用的,明显会堕落了。如今供应上面的几个函数专门用来处置这些头疼的器材:
FunctionReplaceStr(TextIn,ByValSearchStrAsString,_
ByValReplacementAsString,_
ByValCompModeAsInteger)
DimWorkTextAsString,PointerAsInteger
IfIsNull(TextIn)Then
ReplaceStr=Null
Else
WorkText=TextIn
Pointer=InStr(1,WorkText,SearchStr,CompMode)
DoWhilePointer>0
WorkText=Left(WorkText,Pointer-1)&Replacement&_
Mid(WorkText,Pointer+Len(SearchStr))
Pointer=InStr(Pointer+Len(Replacement),WorkText,_
SearchStr,CompMode)
Loop
ReplaceStr=WorkText
EndIf
EndFunction
FunctionSQLFixup(TextIn)
SQLFixup=ReplaceStr(TextIn,"","",0)
EndFunction
FunctionJetSQLFixup(TextIn)
DimTemp
Temp=ReplaceStr(TextIn,"","",0)
JetSQLFixup=ReplaceStr(Temp,"|","&chr(124)&",0)
EndFunction
FunctionFindFirstFixup(TextIn)
DimTemp
Temp=ReplaceStr(TextIn,"","&chr(39)&",0)
FindFirstFixup=ReplaceStr(Temp,"|","&chr(124)&",0)
EndFunction
有了下面几个函数后,当你在实行一个sql前,请先利用
SQL="SELECT*FROMSecurityLevelWHEREUID="&SQLFixup(UserID)&""
SQL=SQL&"ANDPWD="&SQLFixup(Password)&""想法是和程序员的想法不一样的.至于为什么.大家去想一想.跟心理学有关的 |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-16 22:14:13
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜