判断Web数据库方式的一个小经验

• 很多站都是这样防止或是过滤ASP提交的参数的
  if isnumeric(id) Then
  response.write "yes!"
  call sql_query(id)
  else
  response.write "Error id"
  Response.End
  end if
  
  这样就不论怎么样，如果出现非数值就出现错误，很直接的防范,没办法出错,也没办法得到数据库类型
  但是其实我们还是有方法的,
  比如这个ID是由xxx.asp提交的
  xxx.asp?id=1
  我们就在后面加上38个以上的数字,比如0
  xxx.asp?id=100000000...
  这样就能得让上面那段ASP在执行SQL_Query的时候出错了
  提示如下
  引用内容：
  Microsoft OLE DB Provider for SQL Server 错误 '80040e57'
  
  数字 '100000000000000000000000000000000000000000000000000000000000000000' 超出了数字表示范围（最大精度为 38 位有效数字）。
  
  /announce.asp，行 19
  
  
  明白了没?我们让数据库出错了.可见Isnumeric的防范并不是彻底的.
  其实原因也很简单:SQL中定义 Numeric数据的精度最大只能是38,如果我们提交了超过38个数值以后就会出现错误,从而让数据库出现错误...
  防范也很简单,一句代码足够
  程序代码：
  if id>1000000000 Then Call Error(id) '100000000这样的长度总足够了吧?
  

  （出处：急速软件下载学院）

• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 判断Web数据库方式的一个小经验 相关文章：
• ·腾讯未经授权转载网络图片 被判侵权
• ·ASP正则判断取出HTML的图片地址的函数
• ·Google Adsense似乎改进了“无效点击”判断算法
• ·几条相对于SQL Server密码的潜威胁判断
• ·“敲诈者”病毒作者一审被判4年
• ·ASP：判断访问是否来自搜索引擎的函数
• ·从BIOS自检报警声判断电脑故障
• ·Javascript中判断润年最最简单的代码实例
• ·网站链接质量的判断方法
• ·ASP判断数据库值是否为空的通用函数
• 判断Web数据库方式的一个小经验 相关软件
• ·NDS《逆转裁判4 完美汉化简体中文版》模拟器
• ·《审判之眼》战斗宣传片
• ·NDS《心跳魔女神判》模拟器
• ·恶灵谈判专家
• ·《被审判的女医生》
• ·判决案例全库v1.0
• ·庭外“审判”余秋雨
• ·潜流：对狭隘民族主义的批判与反思
• ·纯粹理性批判
• ·自考试题全国2005年1月自学考试国际商务谈判试题

上一篇:WinRAR九大不传密技

下一篇:Linux内核初始化过程简要介绍

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐