两个小函数让你的ASP程序对SQL注入免疫

转载 2006年06月06日 15:40:00

Rem  ##  长整数转换 
Function  toNum(s,  default) 
           If  IsNumeric(s)  and  s  <>  ""  then 
                       toNum  =  CLng(s) 
           Else 
                       toNum  =  default 
           End  If 
End  Function 
 
Rem  ##  SQL  语句转换 
Function  toSql(str) 
           If  IsNull(str)  Then  str  =  "" 
           toSql  =  replace(str,  "'",  "''") 
End  Function 
 
示例: 
Dim  sql 
Dim  strWhere,  strName,  intAge
strName = toSql(request("user"))
intAge  = toNum(request("age"),  20)
sql  =  "SELECT  *  FROM  [USER]"  &  _ 
           "WHERE  [AGE]  >  "  & strName &  _ 
           "  AND  [USERNAME]  =  '"  & intAge &  "'"

一般情况下, 通过上面两个函数的过虑, 可以杜绝网上的SQL注入攻击!如果你觉得有需要, 可以加上对chr(0)的替换, 将toSql函数改为如下:
Function  toSql(str) 
           If  IsNull(str)  Then  str  =  "" 
           str =  replace(str, chr(0),  "") 
           toSql  =  replace(str,  "'",  "''") 
End  Function

另注:

***********************************************************************
检测外部提交的函数
Function CheckUrlRefer()
   Dim strLocalUrl, intUrlLen, strUrlRefer
   strLocalUrl = "http://127.0.0.1"
   intUrlLen = Len(strLocalUrl)
   strUrlRefer = LCase(request.ServerVariables("HTTP_REFERER") & "")
   '检测前一个页面是否来自 strLocalUrl
   If Left(strUrlRefer, intUrlLen) = strLocalUrl Then
     CheckUrlRefer = True
   Else
     CheckUrlRefer = False
   End If
End Function
***********************************************************************
该函数可以帮助你抵挡外部的SQL注入测试, 只需要在页面的头部调用即可.

通过简单的两个小函数, 让你的ASP程序更安全!

渗透测试:SQL注入攻击(ASP)

分类: 渗透测试 SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员...
  • FireHell
  • FireHell
  • 2014年11月29日 15:34
  • 3415

asp+access sql手工注入步骤

理论介绍 数据库结构 access数据库 表 列 单元数据 实例 目标网址:http://127.0.0.1:81/0/0/Production/PRODUCT_DETAIL.asp?...
  • Geecky
  • Geecky
  • 2016年05月02日 17:29
  • 4731

ASP防止跨站脚本和SQL注入代码

使用方法如下:1. 把以下代码保存为_safe.asp,然后放到站点根目录即可。
  • xieyunc
  • xieyunc
  • 2016年07月22日 22:35
  • 4957

SQL注入系列之环境搭建(一)----ASP+ACCESS注入环境搭建

一、常见网站搭建组合 操作系统:windows linux 搭建平台:iis apache uginx tomcat 脚本格式:asp php aspx jsp cgi war py pl do...
  • u011781521
  • u011781521
  • 2016年12月29日 10:45
  • 2878

好用的asp防SQL注入代码

以下为引用的内容: dim sql_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post SQL_injdata = "'|and|exec|insert|s...
  • yujiaping37
  • yujiaping37
  • 2016年08月17日 16:59
  • 294

SQL注入系列之ASP+ACCESS手动注入(二)----Cookie注入

一、简介 Cookie的定义是这样的:Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。通常被用来辨别用户身份、进行session跟踪,最典型的应用就是保存用户的账号...
  • u011781521
  • u011781521
  • 2017年02月26日 15:58
  • 1918

ASP.NET 实现SQL注入过滤

一、什么是SQL注入式攻击             所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户...
  • taozi_5188
  • taozi_5188
  • 2014年11月20日 17:11
  • 1218

SQL注入关键词大全

高级搜索关键词 sql 注入大全 拿起你手中的 啊D 明小子 pangolin  激情把 inurl:asp?id= inurl:Article_Print.asp? inurl:...
  • qq_32616315
  • qq_32616315
  • 2017年08月08日 22:45
  • 4522

asp sql两表连接查询

懂的sql语句就可以快速查找出我们需要的数据,不然就要嵌套一层又一层,以前很少用连接语句来查询数据,经常要建立俩个rrs记录集,这样其实效率也...
  • eadio
  • eadio
  • 2014年03月18日 17:14
  • 1209

ASP网站如何防止注入漏洞攻击

SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是...
  • caizi001
  • caizi001
  • 2015年05月07日 19:20
  • 1572
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:两个小函数让你的ASP程序对SQL注入免疫
举报原因:
原因补充:

(最多只允许输入30个字)