Search 搜索中的数据库错误
我正在做一个asp网站 当我开始搜索时 像这样的名字o'neil 我得到一个数据库错误 我得到这个错误是因为那个名字里的那个 如何在asp中删除此错误 如果它在asp中,我们可以使用addslashes和stripslashes,但我如何在asp中做到这一点Search 搜索中的数据库错误,search,asp-classic,ado,Search,Asp Classic,Ado,我正在做一个asp网站 当我开始搜索时 像这样的名字o'neil 我得到一个数据库错误 我得到这个错误是因为那个名字里的那个 如何在asp中删除此错误 如果它在asp中,我们可以使用addslashes和stripslashes,但我如何在asp中做到这一点 请帮助无论是用于选择特定字符串值还是用于将其插入数据库,该字符串必须对SQL有效,特别是: 字符串的开头由一个单引号字符标记 作为字符串一部分的任何单引号都必须加倍(以免SQL将其理解为字符串的结尾) 字符串的结尾用单引号标记 所以
请帮助无论是用于选择特定字符串值还是用于将其插入数据库,该字符串必须对SQL有效,特别是:
- 字符串的开头由一个单引号字符标记
- 作为字符串一部分的任何单引号都必须加倍(以免SQL将其理解为字符串的结尾)
- 字符串的结尾用单引号标记
'O''Neil'
'O'Neil'
Neil'上述信息将允许您存储姓名,并以保留姓名中嵌入的单引号的方式查询姓名,就像爱尔兰O'xxxx一样。
除了帮你解决这个问题外,如果我忘了提及风险,那我就是失职了 现在您已经了解了非双引号将终止字符串,您可以看到恶意用户如何使用它来“欺骗”应用程序。
例如,假设用户不知何故猜测正在使用的表是
search O'; DELETE FROM search where 'a%'='a
Lstart="O'; DELETE FROM search where 'a%'='a"; select * from search where lname like '%Lstart%'
-- which effectively will be substituted as
select * from search where lname like '%O'; DELETE FROM search where 'a%'='a%'
通过系统地将单引号加倍,并采取一些其他预防措施,例如使用参数化查询,可以保护应用程序(及其数据库)免受此类攻击。是的,您可能需要详细了解如何在它们到达数据库之前将其转义。对不起,我没有正确地理解您。这是一个网站用户将键入的名称,例如d'souzau能否准确地在asp中为我提供该查询这是我的查询Lstart=“O'neil”;从像“%Lstart%”@tibin mathew这样的lname所在的搜索中选择*这将是
Lstart=“O”“neil”;从搜索中选择*,其中lname类似于“%Lstart%”