经典ASP网站如何防止SQL注入攻击？安全编程指南

在经典ASP开发中，SQL注入是最常见的安全威胁之一。攻击者通过恶意SQL代码植入，可导致数据泄露甚至系统瘫痪。以下是5种有效的防护方案：

1. 参数化查询（推荐首选）

使用ADODB.Command对象进行参数化处理，避免SQL拼接：

```asp

Set cmd = Server.CreateObject("ADODB.Command")

cmd.ActiveConnection = conn

cmd.CommandText = "SELECT * FROM Users WHERE Username = ? AND Password = ?"

cmd.Parameters.Append cmd.CreateParameter("@username", adVarChar, adParamInput, 50, Request.Form("username"))

cmd.Parameters.Append cmd.CreateParameter("@password", adVarChar, adParamInput, 50, Request.Form("password"))

Set rs = cmd.Execute

```

2. 输入验证与过滤

对用户输入进行严格校验：

```asp

Function SafeInput(str)

str = Trim(str)

str = Replace(str, "'", "''")

str = Replace(str, "--", "")

SafeInput = str

End Function

```

3. 使用存储过程

在数据库中创建存储过程并调用：

```asp

Set cmd = Server.CreateObject("ADODB.Command")

cmd.CommandType = adCmdStoredProc

cmd.CommandText = "sp_GetUserInfo"

cmd.Parameters.Append cmd.CreateParameter("@username", adVarChar, adParamInput, 50)

cmd.Parameters("@username").Value = SafeInput(Request.Form("username"))

```

4. 最小权限原则

为数据库账户分配最低必要权限，禁止使用sa账户连接。

5. 错误信息处理

关闭详细错误提示，自定义错误页面：

```asp

On Error Resume Next

If Err.Number <> 0 Then

Response.Redirect "/error.html"

End If

```

补充建议：

- 定期进行安全扫描

- 使用WAF防火墙

- 保持系统组件更新

通过结合以上措施，可显著提升ASP应用的安全性。实际开发中应优先采用参数化查询，并建立多层防御体系。