还剩1页未读,继续阅读
文本内容:
isnumeric的安全隐患电脑资料先看Vbs手册里的描述IsNumeric函数返回Boolean值指明表达式的值是否为数字,IsNumericexpression expression参数可以是任意表达式说明如果整个expression被识别为数字,IsNumeric函数返回True;否则函数返回False如果expression是日期表达式,IsNumeric函数返回False一些程序员在写代码的时候比较喜欢用isnumeric来判断参数是否为数字型,依次来杜绝sql注入的产生但是并不是1这样的数字才符合条件,12e3,1d3,1000,1000,1000,100这样的计数法都符合条件,只要下面没用clng或者cint之类强行转换类型的函数,就给我们带来了不一般的用处如下面的代码%Dim id,conn,rs,strSql id=Requestid IfIsNumericid=False Orid=Then Response.Write非法数据Response.End Elseid=CLngid EndIf Setconn=CreateObjectAdodb.Connection connStr=rovider=SQLOLEDB.1assword=passersist SecurityInfo=True;User ID=sa;Initial Catalog=pubs;Data Source=localhost conn.open connStrIf idThen Setrs=CreateObjectAdodb.RecordSet strSql=select*from authorswhere contract=id id=1rs.open strSql,conn,1,1While Not rs.bof AndNotrs.eof Response.Write rsau_idRs.Movenext WendRs.close Setrs=Nothing conn.close Setconn=Nothing End...。