• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

传给SQL Server语句的输入数据验证

发布: 2007-6-21 12:06 | 作者:   | 来源:   | 查看: 15次 | 进入软件测试论坛讨论

领测软件测试网

   
  网页通常是进行SQL查寻的输入数据的前台,也作为查寻结果返还的界面,许多网络程序员还不熟悉如何将输入数据转换为一个SQL语句, 同时他们也忘记了没有预处理,数据不能按SQL语句原样传给网页的原则。
  

  当用户数据传给SQL语句时, 最常见的错误通常是这样的:strUserData=request.form("T1")
  
  strSQLData="select Name from UserNames where Name='" & strUserData & '"
  
  这里strSQLData是被用于SQL语局去检索数据库(这个特别的例子是用VBScript写的,但对于任何检索数据库的脚本语言都是可行的)。
  
  表面上看这种结构没有什么问题,但如果传给form T1的字符串包含单引号(转换为变量strUserData), 如象David's Friend的字符串,SQL语句就会报错。
  
  原因很简单:单引号用来在SQL语句中描述字符串数据。在上面的例子中,变量strUserData中的单引号会被当成语巨中Name='部分的结束符,而不是相应的字符串。
  
  解决方法是用两个单引号替代单个单引号,这样David's Friend可以变成 David''s Friend, 整个字符串会变为:Select Name from UserNames where Name='David''s Friend'
  
  在网页上解决这个问题的方法是写一个函数来永久性用两个单引号替代单个单引号。
  
  Function Quotes(strInput)
  
  strInput=replace(strInput,"'","''")
  
  End Function
  
  这个函数可以被放到任何有SQL Server检索的网页中strUserData=Quotes(request.form("T1"))
  
  输入数据在传给SQL Server前应当以这种方式进行净化, 如何完成这点取决于使用的脚本语言种类。
  
  除了造成SQL失败的结果外,另一个这种错误的严重副作用是一个恶意的聪明用户可以利用这种错误, 让SQL Server执行破坏性的代码。

文章来源于领测软件测试网 https://www.ltesting.net/


关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网