Использование ASP и INSERT INTO -

Question

Я пытаюсь создать простую страницу, которая вводит данные в базу данных, и мой код приведен ниже.

 <%@ LANGUAGE="VBSCRIPT" %>
<% Option Explicit %>
<!--#include FILE=dbcano.inc-->
<%

dim username,password,f_name,l_name,objConn,objs,query

username   = Request.Form("user")
password   = Request.Form("pass")
f_name     = Request.Form("fname")
l_name     = Request.Form("lname")

if((f_name <> null) or (f_name <> "")) then
    response.redirect("patti_account.asp")
else
    Set objConn = ConnectDB()
    query       = "INSERT INTO user (username,password,f_name,l_name) VALUES ('"& username &"','"& password &"','"& f_name &"','"& l_name &"')"
    Set objs    = objConn.Execute(query)

    Response.Redirect ("thankyou.asp")

end if

%>

Я получаю эту ошибку при запуске своей страницы:

Поставщик Microsoft OLE DB для SQL Ошибка сервера 80040e14

Неправильный синтаксис рядом с ключевым словом "пользователь".

create_account.asp, строка 18

Я проверил все, мои имена полей существуют, и имя моей таблицы также правильное.

Есть предложения?

score 3 · Accepted Answer · 10 декабря 2008, 20:36

Пользователь - зарезервированное слово в SQL-сервере. Поместите его в квадратные скобки, например [пользователь] .

score 1 · Answer 2 · 10 декабря 2008, 20:38

Попробуйте изменить его на:

 query       = "INSERT INTO [user] (username,password,f_name,l_name) VALUES ('"& username &"','"& password &"','"& f_name &"','"& l_name &"')"

(избегайте имени таблицы, так как это зарезервированное слово)

Также не забывайте проверять ввод с клавиатуры, поскольку этот код подвержен атакам с помощью SQL-инъекций.

score 2 · Answer 3 · 10 декабря 2008, 21:08

Это уязвимо для внедрения SQL. Представьте, что бы произошло, если бы кто-нибудь подставил вместо фамилии это:

 ');DROP Table [user];--

Исправьте это, или я лично выслежу вас и буду бить влажной лапшой, пока вы это не сделаете.

Использование ASP и INSERT INTO -

3 ответов