DW中sql注入式攻击的防范

转载 2006年05月24日 13:09:00
Dreamweaver+ASP可视化编程门槛很低,新手很容易上路。在很短的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。
    在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的一些ASP网站稍加扫描,就能发现许多ASP网站存在SQL注入漏洞。
    所谓SQL注入(SQL injection),就是利用程序员对用户输入数据的合法性检测不严或不检测等设计上的漏洞,故意从客户端提交特殊的代码(SQL命令),收集程序及服务器的信息,获取想得到的资料而进行的攻击。
    可见Sql注入攻击得逞的主要原因没有对用户输入的数据进行验证,可以从客户端动态生成Sql命令。
一般的http请求不外乎get 和 post,所以只要我们在程序中过滤所有post或者get请求的参数信息中非法字符,即可实现防范SQL注入攻击。

遗憾的是DW并没有提供相关代码,因此要想防范SQL注入式攻击就需要手工修改,
只要将下面的程序保存为SQLinjection.asp,然后在需要防注入的页面头部调用
<!--#Include File="SQLinjection.asp"-->
就可以做到页面防注入.
如果想整站防注,就在DW生成的Connections目录下的数据库连接文件中添加头部调用或直接添加下面程序代码,需要注意的是,在添加到数据库连接文件中,可能在后台表单添加文章等内容时,如遇到SQL语句系统会误认为SQL攻击而提示出错。

通用程序代码(引自网络做适当更改)如下:
<%
'--------定义部份------------------
dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|1=1|1=2|;"
SQL_inj = split(SQL_Injdata,"|")
'--------POST部份------------------
If Request.QueryString<>"" Then
 For Each SQL_Get In Request.QueryString
  For SQL_Data=0 To Ubound(SQL_inj)
  if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
   Response.Write "<Script Language=JavaScript>alert('系统提示你!/n/n请不要在参数中包含非法字符尝试注入!/n/n');window.location="&"'"&"index.asp"&"'"&";</Script>"
   Response.end
  end if
  next
 Next
End If
'--------GET部份-------------------
If Request.Form<>"" Then
 For Each Sql_Post In Request.Form
 For SQL_Data=0 To Ubound(SQL_inj)
  if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
   Response.Write "<Script Language=JavaScript>
alert('系统提示你!/n/n请不要在参数中包含非法字符尝试注入!/n/n');window.location="&"'"&"index.asp"&"'"&";</Script>"
   Response.end
  end if
  next
  next
end if
%>
 通过上面的程序,就可以实现抵御从Get方法或Post方法提交的危险SQL注入字符,并警告入侵者后转向到index.asp(首页)。

相关文章推荐

防范Sql注入式攻击

Sql注入式攻击是指利用设计上的漏洞,在目标服务器上运行Sql 命令以及进行其他方式的攻击 动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因 比如一个在线书店,可以根...

ASP.NET程序防范SQL注入式攻击的方法

一、什么是SQL注入式攻击?  所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或...

ASP.NET中如何防范SQL注入式攻击

一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者...

SQL 注入式攻击示例、原理、防范

一、示例(现在不能测试,网站链接出问题了,但是可以看下怎么回事)        大家可以先在Google上搜一下“starFire英语 下载中心”(恕我不能公布网址,要不被人家看见就不愉快了),点击...
  • dscyw
  • dscyw
  • 2013-09-13 15:04
  • 801

一些防范sql注入式攻击的比较有见地的代码(PHP)

$_POST = sql_injection($_POST); $_GET = sql_injection($_GET); function sql_injection($content) {...

ASP.NET中如何防范SQL注入式攻击

一、什么是SQL注入式攻击?   所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(...
  • xxglh
  • xxglh
  • 2011-07-16 13:14
  • 118

Dreamweaver中sql注入式攻击的防范

Dreamweaver+ASP可视化编程门槛很低,新手很容易上路。在很短的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里...

ASP.NET中如何防范SQL注入式攻击

一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者...

ASP.NET中如何防范SQL注入式攻击

一、什么是SQL注入式攻击?         所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)