[讨论]用cint判断是不是数字来防URL的SQL注入安全不安全呢 - ASP技术论坛 - 编程论坛

| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛 |

编程论坛 → WEB开发 → 『 ASP技术论坛』 → [讨论]用cint判断是不是数字来防URL的SQL注入安全不安全呢

我的收件箱(0)

欢迎加入我们，一同切磋技术

共有 1844 人关注过本帖

标题：[讨论]用cint判断是不是数字来防URL的SQL注入安全不安全呢

只看楼主加入收藏

俺物空

帅哥哟，离线，有人找我吗？

Rank: 1

等　级：新手上路
帖　子：40
专家分：0
注　册：2007-8-30

收藏

问题点数：0 回复次数：3

[讨论]用cint判断是不是数字来防URL的SQL注入安全不安全呢

打比方网址是 topic.asp?id=123

判断id是不是数字的方法我记得有人专门写过一个函数，主要用到了isnumeric，也很简单

但是我想到了另一个更简单的办法
id=[bo]cint[/bo](request("id"))

当传过来的参数id含有注入字符的时候当然无法用int转换了，也就无法注入了。

大家认为这种方式安全吗？

搜索更多相关主题的帖子: SQL　cint　数字　 URL　判断　

发帖时间

2008-07-04 19:30

tianyu123

帅哥哟，离线，有人找我吗？

Rank: 1

等　级：新手上路
威　望：2
帖　子：576
专家分：0
注　册：2007-8-26

收藏

得分:0

但这样程序会出错

topic.asp?id=123'

id=cint(request("id"))

改变一切，须从改变观念开始！

发帖时间

2008-07-04 20:56

hmhz

帅哥哟，离线，有人找我吗？

Rank: 7

Rank: 7

Rank: 7

等　级：贵宾
威　望：30
帖　子：1890
专家分：503
注　册：2006-12-17

收藏

得分:0

是的，程序会有出错提示，黑客要的就是你的出错提示来判别你的数据库是什么类型的，你的程序是否存在注入漏洞
所以还是需要进行判断一下
if not(IsNumeric(request("id")) then

[编程论坛] ASP超级群：49158383 敲门暗号：ASP编程
龍艺博客 http://www.

发帖时间

2008-07-04 21:54

yms123

帅哥哟，离线，有人找我吗？

Rank: 16

Rank: 16

Rank: 16

Rank: 16

等　级：版主
威　望：209
帖　子：12488
专家分：19042
注　册：2004-7-17

收藏

得分:0

恩，最好判断一下数据类型
比如
Function IsInt(Data)
On Error Resume Next
   IF VarType(CInt)<>2 Then
      IsInt=False
   End IF
   IsInt=True
End Function
IF not IsInt(request("id")) Then
   Response.Write "参数非数字"
End IF

发帖时间

2008-07-04 23:56

快速回复：[讨论]用cint判断是不是数字来防URL的SQL注入安全不安全呢

关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有，并保留所有权利。

Powered by Discuz, Processed in 0.029645 second(s), 8 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved