[讨论]用cint判断是不是数字来防URL的SQL注入安全不安全呢 - ASP技术论坛

编程论坛 → WEB开发 → 『 ASP技术论坛』 → [讨论]用cint判断是不是数字来防URL的SQL注入安全不安全呢

标题：[讨论]用cint判断是不是数字来防URL的SQL注入安全不安全呢

只看楼主

俺物空

等　级：新手上路
帖　子：40
专家分：0
注　册：2007-8-30

楼主

问题点数：0 回复次数：3

[讨论]用cint判断是不是数字来防URL的SQL注入安全不安全呢

打比方网址是 topic.asp?id=123

判断id是不是数字的方法我记得有人专门写过一个函数，主要用到了isnumeric，也很简单

但是我想到了另一个更简单的办法
id=[bo]cint[/bo](request("id"))

当传过来的参数id含有注入字符的时候当然无法用int转换了，也就无法注入了。

大家认为这种方式安全吗？

2008-07-04 19:30

tianyu123

等　级：新手上路
威　望：2
帖　子：576
专家分：0
注　册：2007-8-26

第 2 楼

得分:0

但这样程序会出错

topic.asp?id=123'

id=cint(request("id"))

改变一切，须从改变观念开始！

2008-07-04 20:56

hmhz

等　级：贵宾
威　望：30
帖　子：1890
专家分：503
注　册：2006-12-17

第 3 楼

得分:0

是的，程序会有出错提示，黑客要的就是你的出错提示来判别你的数据库是什么类型的，你的程序是否存在注入漏洞
所以还是需要进行判断一下
if not(IsNumeric(request("id")) then

[编程论坛] ASP超级群：49158383 敲门暗号：ASP编程
龍艺博客 http://www.

2008-07-04 21:54

yms123

等　级：版主
威　望：209
帖　子：12488
专家分：19042
注　册：2004-7-17

第 4 楼

得分:0

恩，最好判断一下数据类型
比如
Function IsInt(Data)
On Error Resume Next
   IF VarType(CInt)<>2 Then
      IsInt=False
   End IF
   IsInt=True
End Function
IF not IsInt(request("id")) Then
   Response.Write "参数非数字"
End IF

2008-07-04 23:56

参与讨论请移步原网站贴子：https://bbs.bccn.net/thread-222632-1-1.html