jsp数据库操作 代码攻击★代码攻击★代码攻击★代码攻击★代码攻击★代码攻击★代码攻击★代码攻击★代码攻击★代码攻击★ 建议看一下SQL注入攻击的文章 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 <%On Error Resume NextDim strTemp, oRegExpIf LCase(Request.ServerVariables("HTTPS")) = "off" Then strTemp = "http://"Else strTemp = "https://"End IfstrTemp = strTemp & Request.ServerVariables("SERVER_NAME")If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")strTemp = strTemp & Request.ServerVariables("URL")If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)strTemp = LCase(strTemp)Set oRegExp = New RegExpoRegExp.IgnoreCase = TrueoRegExp.Global = TrueoRegExp.Pattern = "select%20|insert%20|delete%20|update%20|exec|'|asc\(|char\(|mid\(|truncate%20|count\(|drop%20|xp_cmdshell|net%20localgroup%20administrators|net%20user|%20or%20"If oRegExp.Test(strTemp) Then Response.Write "<Script Language='JavaScript'>" Response.Write "alert('警告:url中含有非法字符!!该操作已被记录,你的ip是:"& Request.ServerVariables("REMOTE_ADDR") &"');" Response.Write "history.back();" Response.Write "</Script>" Response.EndEnd If%> To ltq2001932(小强) 你的根本就是ASP的代码嘛!!!!在Java里面尽量不应该使用直接匹配的方法在Java如果操作有参数的数据库操作,应该尽可能的使用PreparedStatement prep = conn.prepareStatement("select * from table where title=?");prep.setString(1, text);ResultSet rs = prep.executeQuery();这样可以代码清晰又没有注入问题 关于网页视频播放!!跪求啊 基于FTP的web版断点续传问题,求大牛 项目中采用c3po数据源如何引用tomcat连接池? struts2+hibernate+spring插入数据库乱码问题? JSP提取数据库数据初始化下拉列表的错误! servlet 到底被定义为什么? textarea型怎么获取其中的值 求救:如何在javascript里面得到系统当前时间 关于取map中数据的问题请进来说话! 如何配制JSP开发平台? 两个下拉列表关联的问题 引用包的问题?
On Error Resume Next
Dim strTemp, oRegExpIf LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = "http://"
Else
strTemp = "https://"
End IfstrTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")strTemp = strTemp & Request.ServerVariables("URL")If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)strTemp = LCase(strTemp)Set oRegExp = New RegExp
oRegExp.IgnoreCase = True
oRegExp.Global = True
oRegExp.Pattern = "select%20|insert%20|delete%20|update%20|exec|'|asc\(|char\(|mid\(|truncate%20|count\(|drop%20|xp_cmdshell|net%20localgroup%20administrators|net%20user|%20or%20"
If oRegExp.Test(strTemp) Then
Response.Write "<Script Language='JavaScript'>"
Response.Write "alert('警告:url中含有非法字符!!该操作已被记录,你的ip是:"& Request.ServerVariables("REMOTE_ADDR") &"');"
Response.Write "history.back();"
Response.Write "</Script>"
Response.End
End If
%>
你的根本就是ASP的代码嘛!!!!在Java里面尽量不应该使用直接匹配的方法在Java如果操作有参数的数据库操作,应该尽可能的使用
PreparedStatement prep = conn.prepareStatement("select * from table where title=?");
prep.setString(1, text);
ResultSet rs = prep.executeQuery();
这样可以代码清晰又没有注入问题