ASP经典 - Recordset对象与Command对象

是的，没错。

想象有人传递字符串：0;从用户删除*;'然后

您查询的是：

spTest 0; delete * from users; 

如果幸运的话，你不会有一个用户表。就我个人而言，我会一直使用命令对象来保持一致性。你可以从它得到你需要的一切。

下面是如何可以用该命令的对象做一个简单的例子：

Dim oStoredProc : Set oStoredProc = Server.CreateObject("ADODB.Command") 

    With oStoredProc 
     .ActiveConnection = oDBConnection 
     .CommandType = adCmdStoredProc 
     .CommandText = "up_procname" 
     .Parameters.Append(.CreateParameter("@Param1", ADODB.adInteger, ADODB.adParamInput, 22, 11)) 
     .Parameters.Append(.CreateParameter("@Param2", ADODB.adInteger, ADODB.adParamOutput, 22, 12) 

     Call .Execute() 

     myVal = .Parameters("@Param2") 
    End With 

    Set oStoredProc = Nothing 

你被告知什么是确实是正确的：你应该总是使用COMMANDE对象，以防止SQL注入。使用参数化查询，您将所有的安全和参数的ADO层（虽然你还是应该做自己适当的验证）验证，你甚至可能会得到一些性能改进（这些参数化查询由SQL Server缓存）

当你执行一个命令，你有两个选择：要么你的SQL执行返回行（SELECT语句，或者一些存储过程），那么你必须使用记录来存储这些行，要么不不（更新，删除，其他程序），那么你有理由执行命令，不用担心记录集。

编辑：只是为了确保一切都清楚了你，我用詹姆斯·怀斯曼的代码上面，它适用于你的例子：

Dim oStoredProc : Set oStoredProc = Server.CreateObject("ADODB.Command") 

With oStoredProc 
    .ActiveConnection = oDBConnection 
    .CommandType = adCmdStoredProc 
    .CommandText = "spTest ?" 
    .Parameters.Append(.CreateParameter("id", ADODB.adInteger, ADODB.adParamInput, id, 11)) 
    Dim rs : Set rs = .Execute() 
End With 

Set oStoredProc = Nothing 

没有测试，但是应该是确定:-)

最后但并非最不重要的：即使你现在保护得很好，不要忘记，如果你在你的存储过程中使用动态SQL，你可能仍然有一个SQL注入安全漏洞（只要你连接字符串来创建SQL你可能会容易我会说）！