终于开发了一个成绩查询系统！ - 编程论坛

#2

icmlfhah2005-07-05 15:28

不错，代码挺实用，收藏！
准考证号输1'or'1'='1 就可以遍历整个数据库了,呵呵
可以弄个函数，把SQL语句全过滤掉,这样安全性好一点。

[此贴子已经被作者于2005-7-5 15:32:47编辑过]

#3

leizi8882005-07-06 16:17

icmlfhah 你好，我尝试了一下你说的，的确是这样的，不知，你可否指教怎么弄个函数，非常感谢！！

#4

静夜思2005-07-06 16:21

no=request("no")
no=replace(no,"'","''")

#5

leizi8882005-07-06 16:33

回：静夜思：
哥们，那句程序加在哪里啊！请执教，谢谢！我真的不知道啊！

#6

belin20002005-07-06 16:42

在你的用户名验证那里加。

#7

icmlfhah2005-07-06 22:12

<%
'字符串过滤函数,放在页末
function codehtml(str)
str=replace(str,"'","''")
codehtml=str
end function
%>
查询语句处这样引用函数:
strsql="select * from cjb where 准考证号='"&codehtml(Trim(Request("name")))&"' or 姓名='"&codehtml(Trim(Request("name1")))&"'"

#8

leizi8882005-07-09 00:59

icmlfhah 非常感谢你的帮助。我现在加进去了，运行正常，可以使用了！说实话。在这里我觉得能得到大家的帮助，真的很感激，同时对belin200也表示感谢！！

[此贴子已经被作者于2005-7-9 1:30:53编辑过]

#9

leizi8882005-07-09 01:22

icmlfhah 非常感谢你的帮助。我现在加进去了，运行正常，可以使用了！说实话。在这里我觉得能得到大家的帮助，真的很感激，我也会劲力来帮助其他的人！下面我把改好后的程序发上来，有需要的朋友可以下过去，使用吧！！！
这次发的成绩查询程序进行了更改：
1、是在icmlfhah 的帮助下，把程序的代码过滤了。
2、就是，关于数据库本来是gaokao.mdb，为了防止下载进行了简单的处理，就是
    改了后缀名，变为了gaokao.asp这样就可以防止下载了。但是在访问数据库的时候
    相应的代码也要改成gaokao.asp，而不是gaokao.mdb
   都在远程序里面呢！要是添加记录的话，可以先把后缀名改为.mdb然后添加完数据库后，
    就再改为.asp为后缀名的文件就可以了！
3、就是弄了一个计数器加在了页面里面，读者可以看到被查询的次数！！（计数器是从网上下的）

只有本站会员才能查看附件，请登录

[此贴子已经被作者于2005-7-9 1:22:41编辑过]

#10

cslldu2008-06-17 22:06

呵呵，安全性要考虑一下

#11

lele20072008-06-17 22:18

我下载不能解压

#12

robinbest2008-06-18 15:19

有个问题没搞懂：
在楼主新版程序Search.asp的第85行：
<form method="post" action="">
action=""没指定内容，为何单击"提交"后Search页面还能进行？

#13

hmhz2008-06-19 10:39

因为为空就是提交给当前页面，程序就在当前页面操作执行

#14

robinbest2008-06-19 13:49

[bo][un]hmhz[/un] 在 2008-6-19 10:39 的发言：[/bo]

因为为空就是提交给当前页面，程序就在当前页面操作执行

哦，学习了！

#15

jxzhu2008-06-19 23:04

可否解释一下
no=request("no")
no=replace(no,"'","''")

这语句的含义?

#16

cardslash2008-07-08 22:45

非常好～～～

#17

feifei200802008-07-09 00:57

怎么下载下来解压不了呢\//

#18

lele20072008-07-09 09:56

[bo][un]jxzhu[/un] 在 2008-6-19 23:04 的发言：[/bo]

可否解释一下
no=request("no")
no=replace(no,"'","''")

这语句的含义?

这句应该是:
no=request("no") '是获取表单中name为no的值,然后给no变量
no=replace(no,"'","''") '是用replace函数把no的值中的 ' 也就是单引号替换成 '' 两个单引号.
------------------------------------
应该是这样了!

不对请纠正,大家学习下,谢谢!不过我下载下来还是解压不了..

#19

jamesxiaoyao2008-07-09 10:08

其实，你还是应该去百度一个防止 SQL 注入的程序下来。用这种简单的替换只能做些简单的防护

#20

vtkdqq2008-07-09 21:29

看一下

#21

guliping2008-07-10 13:30

这个只是替换，对一些SQL注入根本起不了效果

#22

lele20072008-07-10 14:59

[bo][un]guliping[/un] 在 2008-7-10 13:30 的发言：[/bo]

这个只是替换，对一些SQL注入根本起不了效果

菜鸟烦请大哥举个例子,让我们饱学下,谢谢@!!!

#23

ruanjian21102008-07-19 19:49

怎么文件被损坏，下载了解压出错！！！！！！！！！！！！！1

#24

ccmccl2008-08-13 16:18

一定要看下，到底怎么样呀，太好了

一定要看下，到底怎么样呀

#25

always822008-08-14 16:32

[bo][un]ruanjian2110[/un] 在 2008-7-19 19:49 的发言：[/bo]

怎么文件被损坏，下载了解压出错！！！！！！！！！！！！！1

对呀对呀，怎么回事呢？

#26

znxxsc2008-10-22 12:44

太好了

#27

小肚兜2008-10-26 08:12

呵呵
新手报到，没有想到看的第一篇文章就这么有才，学习了
俺决定在此处常住了

#28

asakaze2009-09-16 15:43

简单易用，希望一起努力做出更好的程序

#29

leaf07172009-09-22 23:00

向各位老师学习了！

#30

ivf2009-11-07 11:45

感谢分享。谢谢。

#31

youguanwei2012-06-29 20:29

学习一下。