天魔窟

昨天公司的技术交流会上，提到了对 SQL 语句注入攻击的防止方法之一就是不使用“拼接”字符串来构造 SQL 语句的方法，全部用参数传递的形式。

昨晚看《黑客X档案》中的几篇关于对 ASP 程序（极限论坛，雪人论坛）进行 SQL 注入攻击的文章，发现这几个程序的共同点都是从 QueryString 中获得参数值，在“拼接”成 SQL 查询语句——不被攻击才怪。

我在写 ASP 程序时，操作数据库（大多是 Access）部分基本是使用自己写的一个类，一开始也是用拼接字符串的方式，不过都首先对 QueryString 和 Form 传的参数进行了合法性校验，虽说不上万无一失，至少能防君子。后来扩充之后，加上了传参数的方式，用 ADODB.Command 的 Parameter 对象。部分代码如下：

'执行不返回记录集的查询
Public Sub ExecuteNonQuery(cmdText, cmdParms)
	Set m_objCommand = Server.CreateObject("ADODB.Command")

	With m_objCommand
		.ActiveConnection = m_objConnection
		.CommandText = cmdText
		.CommandType = adCmdText
		.Execute , cmdParms, adExecuteNoRecords
	End With
		
	Set m_objCommand = Nothing
End Sub

ADO 使用参数的方式也类似 SqlHelper，即参数数组。我的调用方式是 obj.ExecuteNonQuery "SELECT * FROM table1 WHERE uid = @uid", Array(uid)。要注意一点的就是，使用 Access 数据库，参数值数组中的变量的顺序必须和 SQL 语句中参数名出现顺序一致，SQL Server 则无所谓。

这个方法其实应该是 ASP 操作数据库的基本方法。然而，我很少在外面网站上见到过。

我想，正因为 ASP 简单易学，大多数人都是半路出家，随便看看就是了，铺天盖地的 ASP 教程上操作数据库部分都是建立 Connection－建立 Recordset－rs.Open ... 来操作，Command 对象甚至不提……唉，为何不读读《ASP 3 高级编程》这本红宝书呢？国外的 ASP 程序员就确实要专业得多。看看国内那些“著名”ASP 程序，比如动网论坛，那代码叫一个丑……CSDN ASP 版的多数问题也弱智得可以……

ASP，或者说 M$ 的东西，确实看上去简单，菜鸟和高手都能实现特定功能，但是，实现方式和细节方面就能看出水平差别了。

我不是高手，也不能算初级菜鸟，所以可以发牢骚，自己的 Blog 嘛～ASP 毕竟没落了，要学的东西很多……