ASP防SQL注入的方法

最新推荐文章于 2023-04-27 15:11:17 发布
最新推荐文章于 2023-04-27 15:11:17 发布
阅读量3.5k 收藏 7
点赞数
分类专栏: WEB 文章标签: asp sql integer 数据库 文档 cmd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CityBird/article/details/3599720
版权

 前一篇我们介绍了一种防SQL注入的终极方法,也就是最原始、最简单、最有效也是最通用的方法,就是数据类型的检查加单引号的处理,具体的内容前面一篇已经介绍过了,这里我就不重复了,下面我们将要介绍另一种在ASP里防SQL注入攻击的方法,该方法不仅仅在ASP里适用,实际上可以在任何使用ADO对象模型与数据库交互的语言中,准确的说称之为基于ADO对象模型的防SQL注入的方法或许更恰当些。好了废话不说了,来看看代码

  1. Dim conn,cmd,pra
  2. set conn=server.createobject("adodb.connection")
  3. conn.Open "…………"   '这里省略数据库连接字
  5. set cmd=server.createobject("adodb.Command")
  6. set pra=server.createobject("adodb.Parameter")
  7. cmd.ActiveConnection = conn
  9. cmd.CommandText = "update news set title=? where id =?"
  10. cmd.CommandType = adCmdText
  12. Set pra = cmd.CreateParameter("title", adVarWChar, adParamInput, 50, "1'2'3")
  13. cmd.Parameters.Append pra
  14.     
  15. Set pra = cmd.CreateParameter("id", adInteger, adParamInput, , 10)
  16. cmd.Parameters.Append pra
  17.         
  18. cmd.Execute
news表的id字段是Integer型的,title字段是nvarchar(50)型的,执行的结果是把news表中id字段为10的记录的title字段的内容改成“1'2'3”
--------------------------------------------------------------------------------------------------
PS:本文档为本人原创,如需转载请注明作者及出处。谢谢!
三楼の郎
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
ASP注入
yonghengzhimi的专栏
09-13 690
ASP注入漏洞方法 在做安全配置前,我们先了解一下入侵者的攻击手法。现在很流行注入攻击,所谓注入攻击,就是利用提交特殊地址将ASP中引用的正常SQL语句和入侵者所需要的SQL语句一并执行,使入侵者达到入侵的目的。现在更是有一些脚本注入工具发布,使菜鸟也可以轻松完成对ASP注入攻击。那么我们先来了解一下这些工具是怎样注入的。 首先,入侵者会对一个网站确定可不可以进行注入,假设一篇文章的地址为:http://www.scccn.com/news.asp?id=1一般会以提交两个地址来测试,如:http.
ASPSQL Injection方法
dislocation的专栏
03-06 931
 原以为SQL注入已经是过时的话题,最近工作上发现许多网站还是存在着这方面的漏洞。不少网管对“‘”和关键字过滤,对于网上流行的一些SQL注入工具还是毫无作用。看来老话题还得重谈,SQL注入还需要更多的关注。 通常判断网站是否存在SQL注入漏洞,可以通过下面3种方法。1.数字型 "select * from table_name where field_name=1"1 and
asp SQL注入代码
01-20
把下面代码复制到每个文件头部就可以SQL注入了,写程序安全最重要 :) <% Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx ‘—定义部份 头—— Fy_Cl = 1    ‘处理方式:1=提示信息,2=转向页面,3=先提示再转向 Fy_Zx = “Error.Asp”  ‘出错时转向的页面 ‘—定义部份 尾—— On Error Resume Next Fy_Url=Request.ServerVariables(“QUERY_STRING”) Fy_a=split(Fy_Url,”&”) redim Fy_Cs(ubound(Fy_a))
ASP注入代码
最新发布
龙狼刺的博客
04-27 626
ASP注入代码
ASP网站如何注入漏洞攻击
caizi001的专栏
05-07 4414
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据。   据统计,网站用ASP+Access或SQLServe
ASP.NETSQL注入方法示例
01-20
本文将详细讲解如何使用实例方法ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接将用户提供的输入拼接到SQL查询中时发生的一种攻击。攻击者可以通过在表单字段、URL参数等处插入...
ASP.NETSQL注入式攻击的方法
01-02
一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...
ASP SQL注入方法
09-06
接下来,我们要讨论的是基于ADO(ActiveX Data Objects)对象模型的SQL注入方法。这种方法更为强大,因为它利用了ADO的参数化查询功能,能有效地止大部分SQL注入攻击。参数化查询允许开发者将用户输入的数据作为...
asp.net SQL注入攻击
10-29
asp.net网站SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站注入
最新ASP通用SQL注入代码
10-13
这是经过整理和测试的,最新ASP通用SQL注入代码。 很简洁也很好用.和大家分享.
SQL不完全思路与注入程序
布衣天使
01-10 1507
SQL注入简介许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,(一般是在浏览器地址栏进行,通过正常的www端口访问)根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入SQL注入思路思路最重要其实好多人都不知道SQL到底能做什么呢这里总结一下SQL注入入侵的总体的思路1. SQL注入漏洞
ASP.NET中如何SQL注入式攻击
老樊的博客
07-02 326
一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。 ⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存
asp 通用注入
lorinzhang
02-20 821
<% '--------版权说明------------------ 'SQL通用注入程序 完美版 '--------定义部份------------------ Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr,alerts '自定义需要过滤的字串,用 "|" 分隔 Fy_In = "'|;|and|exec|insert|selec
最简单有效的SQL注入的两种方法
ddy2000的专栏
08-22 744
数据库系统,一个重要的问题是注入,下面是最简单有效的方法:1、输入的数据(字符)单引号替换成双单引号;如(ASP):strSql = "Select * From [pH_Person_Searcher] Where Perid="&Repace(Perid,"","")&"" 2、参数化,使用存储过程等方式传入输入进行下一步操作;如(ASP): Set
ASPSQL注入的问题
属于OnlyOfMe,属于我
12-22 651
 ASP有一个最省力的做法.供参考     一般asp数据库连接是单独一个文件,在这个文件里加上过滤所有来自Form和Querystring的数据               If   CheckAllQueryString=1   Or   CheckAllForm=1   Then     Call   CheckError()     End   If         Sub   Open
ASPSQL注入方法
xiaosong2008的专栏
10-25 855
      SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。  II
asp.net sql注入
weixin_30699463的博客
08-03 133
转自:http://hi.baidu.com/liulin0712/blog/item/37ad9118b70e860e35fa41d3.html大家存在5点误区: 1、sql注入比较难,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。 2、忽略DropDownList传来的东西 其实是不对的...
ASP网站注入的三种方法,使你的网站更安全
weixin_34056162的博客
04-12 507
当我们发现ASP网站被扫描有注入点,该怎么办?是不是很着急啊,试试这三种方法吧: 第一种: squery=lcase(Request.ServerVariables("QUERY_STRING")) sURL=lcase(Request.ServerVariables("HTTP_HOST")) SQL_injdata =":|;|&gt...
深入解析ASP SQL注入漏洞
为了SQL注入,开发者应遵循以下最佳实践: 1. 使用预编译的SQL语句,如ADO.NET的SqlCommand对象,结合参数化查询,确保用户输入不会影响查询结构。 2. 对用户输入进行严格的验证和过滤,拒绝包含特殊字符的数据...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值