1
Asegúrese de especificar el tipo de entrada requerido al escribir el código de consulta SQL . La mayoría de los entornos de desarrollo permiten especificar " cadena" , "entero " o "date" . Por ejemplo, el URL
http://mysite.com/listauthordetails.aspx?user_id=1234
es interpretada por la base de datos como
SELECT 'nombre , apellidos FROM usuarios DONDE user_id = '1234 '
Esta consulta puede ser reescrita para
ID Dim como String = Request.QueryString ( "ID" )
cmd As new SqlCommand ( " SELECT user_id FROM usuarios WHERE user_id = @ user_id " )
Dim param = new SqlParameter ( " user_id " , SqlDbType.VarChar )
param.Value = ID
cmd. Parameters.Add ( param)
Este código impide que la información adicional se añade al final de la consulta SQL , y sólo pasa el resultado de la solicitud user_id .
2
Utilice el archivo. htaccess para bloquear las solicitudes ilegítimas antes de que pasen a la base de datos, utilizando el comando RewriteCond (). Por ejemplo , para bloquear un script tratando de modificar una variable de petición , utilice la línea " RewriteCond % { QUERY_STRING } _REQUEST ( =