Assicurati di specificare il tipo di ingresso richiesto quando si scrive il codice di query SQL . Maggior parte degli ambienti di sviluppo consentono di specificare " stringa" , " intero " o " data" . Ad esempio, l'URL
http://mysite.com/listauthordetails.aspx?user_id=1234
è interpretato dal database come
SELEZIONA first_name , cognome FROM utenti WHERE user_id = '1234 '
Questa query può essere riscritta per
Dim ID As String = Request.QueryString ( " ID " ) per
Dim cmd come nuovo SqlCommand ( " SELEZIONARE user_id FROM utenti WHERE user_id = @ user_id " ) per
Dim param = new SqlParameter ( " user_id " , SqlDbType.VarChar ) per
valore parametro ID =
cmd . Parameters.Add ( param ) per
Questo codice impedisce ulteriori informazioni venga aggiunto alla fine della query SQL , e passa solo il risultato della richiesta user_id .
2
Utilizzare il file. htaccess per bloccare le richieste illegittime prima che siano passati al database , utilizzando il RewriteCond ( ) comando . Ad esempio, per bloccare uno script cerca di modificare una variabile di richiesta , utilizzare la linea " RewriteCond % { QUERY_STRING } _REQUEST ( =
networking © www.354353.com