防止SQL注入
一、使用参数化输入。存储过程里尽量避免语句拼接。
二、对于一些数据库,必须设置权限,甚至设置到字段。
三、始终通过测试类型、长度、格式和范围来验证用户输入。
四、过滤敏感字符。
- Function ReplaceStr(Str)
- Str=Trim(Str)
- Str=Replace(Str,"'","'")
- Str=Replace(Str,";",";")
- Str=Replace(Str," "," ")
- Str=Replace(Str,"""","”")
- Str=Replace(Str,"%","")
- Str=Replace(Str,"__","")
- Str=Replace(Str,"--","--")
- Str=Replace(Str,"/","/")
- Str=Replace(Str,"?","")
- Str=Replace(Str,vbcrlf,"<br>")
- Str=Replace(str,"0x0020","")
- ReplaceStr=Str
- End Function