replace(request.form("num"),"'","")是什么作用?防止注入吗?我看到好多程序用这个替换,不知道为什么
2 回答
一只甜甜圈
TA贡献1836条经验 获得超5个赞
含义是将 request.form("num")这个值(是从上个表单里名字为num的控件的值提取来的)里只要出现单引号'就用空格来代替.
比如提交来的是w'ww就会转化成www
说白了,就是过滤掉值里的单引号来达到防止注入的目的
繁星淼淼
TA贡献1775条经验 获得超11个赞
是的防止注入
比如你的sql=select * from table where username='"&username&"' and pwd='"&pwd&"'
当username 和pwd 为'or''='时候那么就可以绕过验证用户和密码了
即:
sql=select * from table where username=''or''='' and pwd=''or''=''
添加回答
举报
0/150
提交
取消