网页通常是进行SQL查寻的输入数据的前台,也作为查寻结果返还的界面,许多网络程序员还不熟悉如何将输入数据转换为一个SQL语句, 同时他们也忘记了没有预处理,数据不能按SQL语句原样传给网页的原则。
当用户数据传给SQL语句时, 最常见的错误通常是这样的:strUserData=request.form("T1")
strSQLData="select Name from UserNames where Name='" & strUserData & '"
这里strSQLData是被用于SQL语局去检索数据库(这个特别的例子是用VBScript写的,但对于任何检索数据库的脚本语言都是可行的)。
表面上看这种结构没有什么问题,但如果传给form T1的字符串包含单引号(转换为变量strUserData), 如象David's Friend的字符串,SQL语句就会报错。
原因很简单:单引号用来在SQL语句中描述字符串数据。在上面的例子中,变量strUserData中的单引号会被当成语巨中Name='部分的结束符,而不是相应的字符串。
解决方法是用两个单引号替代单个单引号,这样David's Friend可以变成 David''s Friend, 整个字符串会变为:Select Name from UserNames where Name='David''s Friend'
在网页上解决这个问题的方法是写一个函数来永久性用两个单引号替代单个单引号。
Function Quotes(strInput)
strInput=replace(strInput,"'","''")
End Function
这个函数可以被放到任何有SQL Server检索的网页中strUserData=Quotes(request.form("T1"))
输入数据在传给SQL Server前应当以这种方式进行净化, 如何完成这点取决于使用的脚本语言种类。
除了造成SQL失败的结果外,另一个这种错误的严重副作用是一个恶意的聪明用户可以利用这种错误, 让SQL Server执行破坏性的代码。