推薦：解析ASP連接MSSQL的錯(cuò)誤: 拒絕訪問
在一次ASP程序中不能正常連接MSSQL出現(xiàn)出錯(cuò)信息如下： 以下為引用的內(nèi)容： HTTP/1.1 200 OK Server: Microsoft-IIS/5.1 Date: Sun,

其實(shí)這些字符是對(duì)你程序中SQL語言的欺騙，而成功進(jìn)入的

大家看：開始程序SQL中是對(duì)表進(jìn)行查詢滿足user= "&user&" and pass= "&pass&" "條件的記錄

sql="select * from 表 where user= "&user&" and pass= "&pass&" "

我而輸入上面的代碼后就成了：

sql="select * from 表 where user= a or 1 = 1 and pass= a or 1 = 1 "

大家看看，能有不進(jìn)入的理由嗎？？給我一個(gè)不進(jìn)入的理由，先！

以上USER PASS字段為字符型 如果是數(shù)字型也一樣的道理！

解決方法：

一、函數(shù)替代法：

用REPLACE將用戶端輸入的內(nèi)容中含有特殊字符進(jìn)行替換，達(dá)到控制目的��！sql="select * from 表 where user= "&replace(user," "," ")&" and pass= "&replace(pass," "," ")&" "

這種方法每次只能替換一個(gè)字符，其實(shí)危險(xiǎn)的字符不只是" "，還有如">"、"<"、"&"、"%"等字符應(yīng)該全控制起來。但用REPLACE函數(shù)好象不太勝任那怎么辦呢？？

二、程序控制法

用程序來對(duì)客戶端輸入的內(nèi)容全部控制起來，這樣能全面控制用戶端輸入的任何可能的危險(xiǎn)字符或代碼，我就的這個(gè)方法！