关闭

简单sql注入防范

528人阅读 评论(0) 收藏 举报

1、判断数据来源,
   source=LCase(Request.ServerVariables("HTTP_REFERER"))
   if InStr(source,"http://www.xxx.com/")=0 then
     response.redirect "err.htm"
   End if
2、对提交过来的数据,进行判断
a、字符型,通过下面函数过滤
function checkStr(str)
 if isnull(str) then
  checkStr = ""
  exit function
 end if
 str = Replace(str, Chr(0), "")
 checkStr=replace(str,"'","''")
end function
b、数字型
用函数isnumeric(num)判断是否为数字

3、在数据库连接前加上,on error resume next 屏蔽错误信息显示,调试时先注释掉

<%
dim conn,DBPath
on error resume next
Set conn = Server.CreateObject("ADODB.Connection")
DBPath = Server.MapPath("data.asp")
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & DBPath
If Err Then
 err.Clear
 Set Conn = Nothing
 response.redirect "err.htm"
End If
%>


0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:39802次
    • 积分:468
    • 等级:
    • 排名:千里之外
    • 原创:1篇
    • 转载:31篇
    • 译文:0篇
    • 评论:1条
    最新评论