VBScript/ASP Classic 和 ADO 中的参数化
-
09-06-2019 - |
解决方案
我在这里可能是错的,但我认为这只是意味着有人可以使用 Command 对象来做坏事。IE。如果是其他人编写的脚本,则不值得信任。
看 可以安全地编写脚本 在本文中。每个在线谈论这个短语的实例都会引用它,就像您标记一个 ActiveX 控件一样,说“该控件不执行 I/O 或仅与它来自的服务器进行对话”,但 Command 对象不会这样做。它可以用来做很多不安全的事情。
他们所说的“安全”和防止SQL注入的“安全”是两个不同的东西。关于使用 ADO Command 对象参数化数据的文章非常准确。你应该这样做。
并且,微软在这里进一步证实了这一点:
http://msdn.microsoft.com/en-us/library/ms676585(v=VS.85).aspx
其他提示
我认为“脚本安全”意味着“可以安全地从我们刚刚从尼日利亚王子那里检索到的网页运行”。命令对象应该可以安全地在服务器上运行。
但在工作中,当时我的同事并不信任它,所以我们有一个内部框架,基本上做同样的事情。
不隶属于 StackOverflow