一个asp函数, 解决SQL Injection漏洞

最新推荐文章于 2024-04-22 12:41:15 发布
最新推荐文章于 2024-04-22 12:41:15 发布
阅读量1.2k 收藏
点赞数
分类专栏: Fun&TipS 编程指南 文章标签: asp sql sql server function command 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freexploit/article/details/149252
版权
函数很简单, 主要是针对字符串和数字两种类型的传入数据分别进行了处理,具体用法:

字符类型的
strUsername = CheckInput(Request(“username“),“s“)
数字类型的
ID = CheckInput(Request(“id“),“i“)

下面是函数


Function CheckInput(str,strType)
   '函数功能:过滤字符参数中的单引号,对于数字参数进行判断,如果不是数值类型,则赋值0
   '参数意义:  str        ---- 要过滤的参数
   '                 strType ---- 参数类型,分为字符型和数字型,字符型为"s",数字型为"i"
 Dim strTmp
 strTmp     = ""
 If strType ="s" Then
  strTmp = Replace(Trim(str),"'","''")
 ElseIf strType="i" Then
  If isNumeric(str)=False Then str="0"
  strTmp = str
 Else
  strTmp = str
 End If
 CheckInput = strTmp
End Function

最好把“:”也过滤掉
建议用CHR()代替

关于Asp的SQL Injection预防问题,似乎已经没什么可说的了。在我做的Asp的项目里面,

都是用自己写的函数来处理客户端提交进来的数据,我的Blog里面也贴过这个函数。

具体可以参考http://blog.csdn.net/cqq/archive/2004/09/23/113786.aspx


不过,从朋友的留言和网上其他的一些讲如何防范SQL Injection的函数来看,很多人都走进了一个误区。

SQL Injection的危害是很大的,比如对于SQL Server,可以创建、删除数据库,执行系统命令等等, 如

drop table tbl_name, execute master.dbo.xp_cmdshell "command"

所以很多人写的函数就是拼命的去过滤这些可能引起危害的关键词,比如drop ,分号,and,exe,mid等等,罗列了

一大堆。


其实,尽可以不必那么繁琐,非要把简单的事情复杂化。

对于过滤,ASP中只要针对字符型和数字型分别处理就可以了,


字符型的,把单引号转换成两个单引号  strTmp = Replace(Trim(str),"'","''")

数字型的,就判断是否能够转换成数字型的 ,用 isNumeric函数


现在网上说的能够绕过单引号的攻击,其实是针对数字类型的

如果对于过滤了单引号的字符型,还有办法绕过,那就没得玩了........

freexploit
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
最新ASP通用防SQL注入代码
10-13
这是经过整理和测试的,最新ASP通用防SQL注入代码。 很简洁也很好用.和大家分享.
针对Fortify工具扫描出几大漏洞解决办法总结--1
热门推荐
abcxy12336的博客
08-27 3万+
Fortify是一款能扫描分析代码漏洞的强大工具,这里就不详细介绍,有兴趣了解的同学可以自己找些相关资料来看看。 本人在实际工作中遇到以下漏洞,结合他人经验及自己的理解总结出一些相关解决方式,如有不足之处还望批评指正。 1.System Information Leak 系统信息泄露:当系统数据或调试信息通过输出流或者日志功能流出程序时,就会发生信息泄漏。 看下面两段代码: out.
SQL注入攻击
人生何适不艰难 赖是胸中万斛宽
06-03 1154
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入
fortify 漏洞扫描的几种解决方式
wuhenlove的博客
08-22 2万+
1.    关于Log的问题(Log Forging),整个系统中,对于Log的问题最多,可以采用以下方式进行解决解决方案如下: 1) 只输出必要的日志,功能上线前屏蔽大多数的调试日志。 2) 过滤掉非法字符:   2.    关于创建File(Path Manipulation)的问题。 Fortify扫描遇到了Path Manipulation问题,定位代码如下: 1
ASPSQL Injection方法
dislocation的专栏
03-06 923
 原以为SQL注入已经是过时的话题,最近工作上发现许多网站还是存在着这方面的漏洞。不少网管对“‘”和关键字过滤,对于网上流行的一些SQL注入工具还是毫无作用。看来老话题还得重谈,SQL注入还需要更多的关注。 通常判断网站是否存在SQL注入漏洞,可以通过下面3种方法。1.数字型 "select * from table_name where field_name=1"1 and
用PHP函数解决SQL injection
12-17
SQL injection问题在ASP上可是闹得沸沸扬扬当然还有不少国内外著名的PHP程序“遇难”。至于SQL injection的详情,网上的文章太多了,在此就不作介绍。 如果你网站空间的...作为一个开发者,你不知道每个用户的
asp一个日期格式化函数
10-30
asp一个日期格式化函数
asp在线执行sql语句的函数
01-20
代码如下:function gfv(str) gfv = request.form(str) end function sub executesql dim content:content = gfv(“content”) on error resume next conn.begintrans conn.execute(content) if err...
asp终极防范SQL注入漏洞
01-02
下面给出4个函数,足够你抵挡一切SQL注入漏洞!读懂代码,你就能融会贯通。 注意要对所有的request对象进行过滤:包括 request.cookie, request.ServerVariables 等等容易被忽视的对象: 代码如下: function killn...
asp下正则实现URL自动链接的一个函数
10-30
asp下正则实现URL自动链接的一个函数
利用CouchDB未授权访问漏洞执行任意系统命令
3569
12-01 2832
0x00 前言 5月16日阿里云盾攻防对抗团队从外部渠道获知CouchDB数据库存在未授权访问漏洞(在配置不正确的情况下)。经过测试,云盾团队率先发现利用该未授权访问漏洞不仅会造成数据的丢失和泄露,甚至可执行任意系统命令。云盾安全专家团队第一时间完成了漏洞上报、安全评级,并通知了所有可能受影响的用户。下面将对该漏洞的出处和技术细节做详细解释。 http://static.hx99.net/
SQL注入天书 - ASP注入漏洞全接触
Ardor Leo's Blog
10-30 1万+
http://www.cnblogs.com/enif/archive/2004/08/11/32146.html(源址)SQL注入天书 - ASP注入漏洞全接触 作者:NB联盟-小竹 (QQ:48814)引  言随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候
ASP网络编程安全指南(SQL Injection篇)
01-13 1258
作者: 风清扬 出处: E代V4 近段时间以来的网络攻击似乎多了起来,很多站点无故被黑甚至换掉首页。绝大多数站点被攻击的原因大都是由于站点程序上的漏洞,由攻击者得到WebShell后进而提升权限得到服务器主机权限。然而得到WebShell的途径也就集中到SQL Injection的攻击手法上。什么是SQL 注入攻击呢?来自官方的诠释:当应用程序使用输入内容来构造动态 SQL 语句以访问数据库时,会
网络安全系列之十一 系统命令注入攻击
weixin_33892359的博客
11-15 1720
系统命令注入攻击也是一种古老的攻击手段,是指黑客可以在有漏洞的页面地址栏中直接执行操作系统命令。下面将来演示这种攻击的实现方式,以及如何配置WAF进行拦截,实验环境仍然使用NPMserv搭建。 打开网站,在地址栏中的网址后面输入“?cmd=所要执行的命令”,如下图所示的http://192.168.1.3/?cmd=net user,可以发现命令能够成功...
SQL Injection***技术总汇(ASP+SQL Server版)v1.0
weixin_34380296的博客
10-09 51
1.利用SQL Injection***数据库 以在其中一个加上单引号来进行试验 http://localhost/test.asp?username=isno&password=some’ 根据IIS的配置不同可能会显示“HTTP 500 - 内部服务器错误”这样的信息,这也是存在SQL Injection漏洞的证据。当...
SQL注入系列之ASP+ACCESS手动注入(一)----数字型
fendo
12-30 2万+
一、access数据库 1.简介 Microsoft Office Access是由微软发布的关系数据库管理系统。它结合了 MicrosoftJet Database Engine 和 图形用户界面两项特点,是 Microsoft Office 的系统程序之一。 Microsoft Office Access是微软把数据库引擎的图形用户界面和软件开发工具结合在一起的一
SQL注入-针对asp+access网站进行SQL注入
qq_25899635的博客
05-23 4941
asp+access网站技术介绍   ASP即Active Server Pages,是MicroSoft公司开发的服务器端脚本环境,可用来创建动态交互式网页并建立强大的web应用程序。当服务器收到对ASp文件的请求时,它会处理包含在用于构建发送给浏览器的HTML(Hyper Text Markup Language,超文本标志语言)网页文件中的服务器端脚本代码。除服务器端脚本代码外,ASP文件也...
探秘数据库中间件:ProxySQL与MaxScale的优势与劣势
最新发布
todoitbo的博客
04-22 1059
本文将深入探讨两个流行的数据库负载均衡中间件ProxySQL和MaxScale的功能、特点以及适用场景。我们将比较两者的优劣势,并提供选择和配置的建议,帮助读者了解如何在自己的数据库架构中选择合适的解决方案。
ASP制作一个登录注册界面连接sql数据库
05-26
首先,我们需要在SQL Server中创建一个名为"User"的数据库,并在其中创建名为"Login"的表,该表包含以下列:ID(int,主键,自动增量),Username(nvarchar(50)),Password(nvarchar(50))。 接下来,我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值