【ASP】過濾SQL及Javascript 關鍵字

-

<%

Function csstr(thetext)
ttext=thetext
BlackList = Array("'", "';", "/*", "*/", "@@","--",_
                             "char", "nchar", "varchar", "nvarchar",_ 
                             "alter", "begin", "cast", "create", "cursor",_
                             "declare", "delete", "drop", "end", "exec",_
                             "execute", "fetch", "insert", "kill", "open",_
                             "table", "update",  "\",  "&", "<script",_
                             "select", "sys", "sysobjects", "syscolumns")
 
 if len(ttext)>0 then
    For Each s in BlackList
         the_err_let=instr(lcase(ttext),s)
       do while the_err_let>0
           ltext=left(ttext,the_err_let-1)
           rlen=len(ttext)-the_err_let - len(s) + 1 
           rtext=right(ttext, rlen)
           ttext=ltext & rtext
           if len(ttext)>0 then
              the_err_let=instr(lcase(ttext),s)
           else
              the_err_let=0
           end if
       loop
    next 
 end if
csstr=ttext
End Function

'用意在於資料寫進資料庫前,將一些關鍵字過濾以防錯誤也比較安全之

 p_username=csstr(request("p_username"))    'EX : 登入帳號
 p_password=csstr(request("p_password"))     'EX : 登入密碼

%>

留言

張貼留言

這個網誌中的熱門文章

【ASP】日期轉換(西元<-->民國)

-
日期轉換方式有很多種寫法,在此介紹比較簡單易懂且常用的方式︰ 1.先把日期去掉("/" or "-" or ".")等符號,轉成字串形態(yyyymmdd or yymmdd),接著在相加或相減19110000  〔EX: 2012/08/05 or 2012-08-05  2012.08.05 ==>20120805 註︰月及日一定要各兩碼,不足前面補0 〕   西元(yyyymmdd)轉民國   date1="20120805" - 19110000     date1 輸出︰ 1010805       民國轉西元(yyyymmdd)   date2=19110000 + "1010805"      date2 輸出︰ 20120805 2.只針對年份做相加或相減1911,且可保有("/" or "-" or ".")等符號   西元轉民國   (PS:假設今日NOW()為 2012/12/22)   date3=year(now())-1911 & mid(FormatDateTime(now(),2),5)       date3 輸出︰ 101/12/22   民國轉西元   strDate = "101/12/22"   DateArr = Split(strDate, "/")   date4=Cint(DateArr(0))+1911 & mid(strDate,len(DateArr(0))+1)    date4 輸出︰ 2012/12/22   通常 若要做日期比較或運算建議採用第一種寫法,若要顯示於螢幕上或報表上建議採用第二種方式 。 總之不管採用任何哪一種方式,都可以達到所要的結果,只是多一個步驟或少一個步驟而已。 〔如第一種寫法產生結果也可以像第二種產生結果一樣,需多加個拆解及合併動作,反之亦然〕
閱讀完整內容

【VB】使用NPOI元件來匯出Excel--DataTableToExcel

-
繼上篇" 【VB】使用NPOI元件來匯出Excel ",這次則利用DataTableToExcel方式來實作,執行結果一樣,所以不在抓畫面了。 引用: Imports System.IO Imports System.Data Imports NPOI.HSSF.UserModel Imports NPOI.HPSF Imports NPOI.POIFS.FileSystem Imports NPOI.Util 程式碼(參考) : 本人做法是撈取DB內容,然後透過DataTable匯出Excel。         Dim file_name As String = Format(Now, "yyyyMMdd") & "採購單.xls"         Dim ms As MemoryStream = New MemoryStream()  '==需要 System.IO命名空間         ' 抓 DB         Dim conn As String = Get_Val(Me.DropDownList1.SelectedValue)         ads.ConnectionString = conn         ads.SelectCommand = Me.SqlDataSource1.SelectCommand         Dim dv As Data.DataView = ads.Select(New DataSourceSelectArguments)         dv = ads.Select(New DataSourceSelectArguments) ...
閱讀完整內容

【SQL】符號切割字串變成多欄

-
圖片
工作之需求,將欄位中的資料,以底線分隔之文字 , 變成多欄位顯示。 SQL 參考語法 : select RefSysArgID, SUBSTRING(RefSysArgID,1,CHARINDEX('_',RefSysArgID)-1) as RefSysArgID_0 , SUBSTRING(RefSysArgID,CHARINDEX('_',RefSysArgID)+1,len(RefSysArgID)) as RefSysArgID_1 , RefSysArgName, RefSysArgRemark from dispRefSysArg where RefSysArgParentID=N'MSS_HWMS_AREA' 執行畫面: SQL 參考語法2: --Ex : Hello_Jason select SUBSTRING( 'Hello_Jason' ,1,CHARINDEX('_', 'Hello_Jason' )-1) '前面的文字' , SUBSTRING( 'Hello_Jason' ,CHARINDEX('_', 'Hello_Jason' )+1,len( 'Hello_Jason' )) '後面的文字' 執行畫面:
閱讀完整內容