单引号注入SQL，取代函数，要怎么写 - ASP技术论坛

| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛 |

编程论坛 → WEB开发 → 『 ASP技术论坛』 → 单引号注入SQL，取代函数，要怎么写

我的收件箱(0)

欢迎加入我们，一同切磋技术

共有 2171 人关注过本帖

标题：单引号注入SQL，取代函数，要怎么写

只看楼主加入收藏

caiyakang

等　级：新手上路
威　望：5
帖　子：2111
专家分：0
注　册：2005-3-24

楼主

问题点数：0 回复次数：5

单引号注入SQL，取代函数，要怎么写

搜索更多相关主题的帖子: 单引号　 SQL　函数　

2005-07-07 00:12

无根泉

等　级：新手上路
威　望：4
帖　子：853
专家分：0
注　册：2004-11-4

第 2 楼

得分:0

function ck(str)
str=server.htmlencode(str)
str=replace(str,"'","")
str=replace(str,chr(39),"")
str=replace(str,vbcrlf,"<br>")
str=replace(str,chr(13),"<br>")
ck=str
end function

使用：
username=ck(request.form("username"))

我很菜，但我很努力！

2005-07-07 08:16

caiyakang

等　级：新手上路
威　望：5
帖　子：2111
专家分：0
注　册：2005-3-24

第 3 楼

得分:0

如果用取代的话，会把SQL本身的单引号给取代掉吗。

[此贴子已经被作者于2005-7-7 8:56:04编辑过]

中国人的财富网:http://www..cn/

2005-07-07 08:53

hxfly

等　级：贵宾
威　望：17
帖　子：5810
专家分：118
注　册：2005-4-7

第 4 楼

得分:0

概念错误
不是取代SQL语句的引号
是取代相应的查询变量的引号
如你要查询一个NAME
则
NAME=REQUEST("NAME")
NAME=CK(NAME)

SQL="SELECT * FROM TABLE WHERE NAME='"&NAME&"'"

并不是SQL=CK(SQL)

2005-07-07 09:34

belin2000

等　级：论坛游侠
威　望：5
帖　子：975
专家分：194
注　册：2004-6-2

第 5 楼

得分:0

.....

59ita点com(我就爱TA)

2005-07-07 12:06

月夜NO风

等　级：新手上路
帖　子：93
专家分：0
注　册：2008-6-29

第 6 楼

得分:0

[bo][un]无根泉[/un] 在 2005-7-7 08:16 的发言：[/bo]

function ck(str)
str=server.htmlencode(str)
str=replace(str,"'","")
str=replace(str,chr(39),"")
str=replace(str,vbcrlf,"<br>")
str=replace(str,chr(13),"<br>")
ck=str
end function

使用：
use ...

今天借用了一下，果然好用！谢谢！！！！！！！！呵呵，发帖前搜一搜，有问题不用求人！
哈哈！

2008-08-19 16:30

快速回复：单引号注入SQL，取代函数，要怎么写