关闭

两个小函数让你的ASP程序对SQL注入免疫

631人阅读 评论(0) 收藏 举报

Rem  ##  长整数转换 
Function  toNum(s,  default) 
           If  IsNumeric(s)  and  s  <>  ""  then 
                       toNum  =  CLng(s) 
           Else 
                       toNum  =  default 
           End  If 
End  Function 
 
Rem  ##  SQL  语句转换 
Function  toSql(str) 
           If  IsNull(str)  Then  str  =  "" 
           toSql  =  replace(str,  "'",  "''") 
End  Function 
 
示例: 
Dim  sql 
Dim  strWhere,  strName,  intAge
strName = toSql(request("user"))
intAge  = toNum(request("age"),  20)
sql  =  "SELECT  *  FROM  [USER]"  &  _ 
           "WHERE  [AGE]  >  "  & strName &  _ 
           "  AND  [USERNAME]  =  '"  & intAge &  "'"

一般情况下, 通过上面两个函数的过虑, 可以杜绝网上的SQL注入攻击!如果你觉得有需要, 可以加上对chr(0)的替换, 将toSql函数改为如下:
Function  toSql(str) 
           If  IsNull(str)  Then  str  =  "" 
           str =  replace(str, chr(0),  "") 
           toSql  =  replace(str,  "'",  "''") 
End  Function

另注:

***********************************************************************
检测外部提交的函数
Function CheckUrlRefer()
   Dim strLocalUrl, intUrlLen, strUrlRefer
   strLocalUrl = "http://127.0.0.1"
   intUrlLen = Len(strLocalUrl)
   strUrlRefer = LCase(request.ServerVariables("HTTP_REFERER") & "")
   '检测前一个页面是否来自 strLocalUrl
   If Left(strUrlRefer, intUrlLen) = strLocalUrl Then
     CheckUrlRefer = True
   Else
     CheckUrlRefer = False
   End If
End Function
***********************************************************************
该函数可以帮助你抵挡外部的SQL注入测试, 只需要在页面的头部调用即可.

通过简单的两个小函数, 让你的ASP程序更安全!

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:277646次
    • 积分:3424
    • 等级:
    • 排名:第10116名
    • 原创:67篇
    • 转载:78篇
    • 译文:2篇
    • 评论:47条
    文章分类
    最新评论