Parametrisierung in VBScript/ASP Classic und ADO

Question

Ich bin hier etwas verwirrt.Soweit ich das beurteilen kann, behauptet Microsoft, dass Parametrisierung der beste Weg ist, Ihre Datenbank vor SQL-Injection-Angriffen zu schützen.Aber ich finde hier zwei widersprüchliche Informationsquellen:

Diese Seite sagt, dass das ADO-Befehlsobjekt verwendet werden soll.Aber diese Seite sagt, dass das Befehlsobjekt für die Skripterstellung nicht sicher ist.Ich erinnere mich, dass ich irgendwo gelesen habe, dass das Befehlsobjekt aufgrund von Sicherheitslücken nicht in VBScript oder JScript verwendet werden sollte, aber ich kann diesen Artikel anscheinend nicht finden.

Übersehe ich hier etwas oder scheinen diese beiden Artikel einander zu widersprechen?

Answer 1

könnte ich falsch sein hier, aber ich denke, das bedeutet nur, dass jemand das Command-Objekt schlechte Dinge zu tun, nutzen könnte. D. h es ist zu trauen nicht, wenn jemand anderes es Skripting.

Siehe safe for scripting in diesem Artikel. Jede Instanz, die online über diesen Satz spricht, Referenzen es, als ob Sie ein ActiveX-Steuerelement Kennzeichnung sagen: „Diese Steuerung hat keine E / A oder nur Gespräche zurück an den Server, es kam“, aber das Command-Objekt tut das nicht. Es kann verwendet werden, um eine Menge Dinge zu tun, die gefährlich sein könnte.

Die „sichere“ sie sprechen und die „sicheren“ von SQL-Injection zu verhindern, sind zwei verschiedene Dinge. Der Artikel über das ADO-Command-Objekt unter Verwendung Ihrer Daten parametrisieren ist vor Ort auf. Sie sollten das tun.

Und Microsoft bestätigt ferner das hier:

http://msdn.microsoft. com / en-us / library / ms676585 (v = VS.85) aspx

Answer 2

Ich denke, „safe for scripting“ bedeutet „sicher von einer Webseite ausgeführt werden wir nur von einem nigerianischen Prinzen abgerufen“. Der Befehl Objekt sollte sicher auf dem Server ausgeführt werden.

Bei der Arbeit aber wieder in den Tag meiner Kollegen trauten es nicht so hatten wir ein hauseigenes Framework, das im Grunde das Gleiche tat.