我知道这是一个常见错误,但我仍然无法自己解决。 我想要做的是我有一个名为状态 SELECT项目,允许用户选择他们的就业状态,我想只是得到结果和更新user_table(访问文件)状态单元格。 任何答复将不胜感激!查询表达式中的语法错误(缺少运算符)
的代码如下:
<!--#include file="../conn/conn.asp"-->
<%
id=request.QueryString("id")
status=request.Form("status")
sql="select * from user_table where id="&id
set rs=conn.execute(sql)
sql="update user_table set Status='"+status+"' where id="&id
'response.Write sql
conn.execute(sql)
conn.close
response.Write "<script>alert('Change Sucessful!');</script>"
set conn=nothing
response.end()
%>
您好,SQL注入! – 2012-02-07 17:43:01
首先:你得到什么错误,在哪里?第二:这可能会让你读一些:http://en.wikipedia.org/wiki/SQL_injection和这个:http://en.wikipedia.org/wiki/Security_through_obscurity – 2012-02-07 17:45:04
那么问题是什么?你在测试中使用了什么样的id和状态值?另外,我建议使用参数化查询来避免SQL注入攻击。 – CodeThug 2012-02-07 17:53:33