我们的约定

防范的方法很多嘛
1.破坏构造的字符串
  (1) MD5加密:不管怎么样,字符串都将转换成MD5值,不存在与SQL语句冲突的问题.当然,如果是MSSQL的话,用户名要放在句后,以防一些人用;--注释掉MD5的Hash(一般有MD5存在的,ACCESS饶不过应该,MSSQL可以看先后次序)
  (2) 过滤特殊字符,比如replace(username,"'","") | replace(username,"--","")之类的..(网上N多系统这么过滤)
2.将数据与字符串比对
   先查看是否eof,如果不是,那么将数据库中取出一个未知的值与输入的值比对.如果相同,则可以说明正确...也是杜绝的办法(看过一个叫ET-Comic的代码使用这种方法)
3.先取出再验证
   一个比较低效率的办法...来一个循环,然后读出数据比对...输入的字符串本身不参与查询...(很早的时候看一个文章系统用过..)me=\"kEvin1986\" & chr(0) & \"at solitude\" msgbox len(me) \' You can see somthing. msgbox me \' But just part of it. \'i think i will hide part of myself
帖子325 精华12 积分3936 阅读权限100 性别男 在线时间308 小时 注册时间2005-2-5 最后登录2007-9-3 查看个人网站
查看详细资料TOP

crack
晶莹剔透§烈日灼然