再談ASP防止SQL Injection漏洞的問題

再談ASP防止SQL Injection漏洞的問題
/**
作者：慈勤強
Email： cqq1978@Gmail.com
*/
關於Asp的SQL Injection預防問題，似乎已經沒什麼可說的了。在我做的Asp的項目裡面，
都是用自己寫的函數來處理用戶端提交進來的資料，我的Blog裡面也貼過這個函數。
具體可以參考http://blog.111cn.net/cqq/archive/2004/09/23/113786.aspx
不過，從朋友的留言和網上其他的一些講如何防範SQL Injection的函數來看，很多人都走進了一個誤區。
SQL Injection的危害是很大的，比如對於SQL Server，可以建立、刪除資料庫，執行系統命令等等， 如
drop table tbl_name, execute master.dbo.xp_cmdshell "command"
所以很多人寫的函數就是拚命的去過濾這些可能引起危害的關鍵詞，比如drop ,分號,and,exe,mid等等，羅列了
一大堆。
其實，盡可以不必那麼繁瑣，非要把簡單的事情複雜化。
對於過濾，ASP中只要針對字元型和數字型分別處理就可以了，
字元型的，把單引號轉換成兩個單引號 strTmp = Replace(Trim(str),"'","''")
數字型的，就判斷是否能夠轉換成數字型的 ，用 isNumeric函數
現在網上說的能夠繞過單引號的攻擊，其實是針對數字類型的
如果對於過濾了單引號的字元型，還有辦法繞過，那就沒得玩了........