两个小函数让你的ASP程序对SQL注入免疫

转载 2006年06月06日 15:40:00

Rem  ##  长整数转换 
Function  toNum(s,  default) 
           If  IsNumeric(s)  and  s  <>  ""  then 
                       toNum  =  CLng(s) 
           Else 
                       toNum  =  default 
           End  If 
End  Function 
 
Rem  ##  SQL  语句转换 
Function  toSql(str) 
           If  IsNull(str)  Then  str  =  "" 
           toSql  =  replace(str,  "'",  "''") 
End  Function 
 
示例: 
Dim  sql 
Dim  strWhere,  strName,  intAge
strName = toSql(request("user"))
intAge  = toNum(request("age"),  20)
sql  =  "SELECT  *  FROM  [USER]"  &  _ 
           "WHERE  [AGE]  >  "  & strName &  _ 
           "  AND  [USERNAME]  =  '"  & intAge &  "'"

一般情况下, 通过上面两个函数的过虑, 可以杜绝网上的SQL注入攻击!如果你觉得有需要, 可以加上对chr(0)的替换, 将toSql函数改为如下:
Function  toSql(str) 
           If  IsNull(str)  Then  str  =  "" 
           str =  replace(str, chr(0),  "") 
           toSql  =  replace(str,  "'",  "''") 
End  Function

另注:

***********************************************************************
检测外部提交的函数
Function CheckUrlRefer()
   Dim strLocalUrl, intUrlLen, strUrlRefer
   strLocalUrl = "http://127.0.0.1"
   intUrlLen = Len(strLocalUrl)
   strUrlRefer = LCase(request.ServerVariables("HTTP_REFERER") & "")
   '检测前一个页面是否来自 strLocalUrl
   If Left(strUrlRefer, intUrlLen) = strLocalUrl Then
     CheckUrlRefer = True
   Else
     CheckUrlRefer = False
   End If
End Function
***********************************************************************
该函数可以帮助你抵挡外部的SQL注入测试, 只需要在页面的头部调用即可.

通过简单的两个小函数, 让你的ASP程序更安全!

相关文章推荐

asp.net程序防止sql注入源代码

前几天自己维护的网站发现有很多超链接,页面全乱了!查询下数据库几乎所有的表都有这个链接,估计就是sql注入了。网上查询了一下,SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没...

编写通用的ASP防SQL注入攻击程序

SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL防注入程序一般的http请求...

ASP.NET程序防范SQL注入式攻击的方法

一、什么是SQL注入式攻击?  所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或...

ASP.NET网站程序防SQL注入式攻击方法

ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的S...

编写通用的ASP防SQL注入攻击程序 .

SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL防注入程序一般的http请求...

两个聊天室程序,asp与php

  • 2009年04月28日 12:40
  • 20KB
  • 下载

sql实现从两个表获取字段组成表数据再插入到函数表中

实现此效果说起来比较难以说明,我这里还是先将实现的效果已图的形式展示一下吧。 这是两个表的设计。我想实现的效果举个例子,以查询secretaryCharge为例: 点击“市级”,我将查询到...
  • ztzi321
  • ztzi321
  • 2015年08月31日 21:50
  • 1546
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:两个小函数让你的ASP程序对SQL注入免疫
举报原因:
原因补充:

(最多只允许输入30个字)