ASP防止SQL注入的问题

最新推荐文章于 2023-04-27 15:11:17 发布
最新推荐文章于 2023-04-27 15:11:17 发布
阅读量651 收藏
点赞数
文章标签: asp sql function delete application each
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OnlyOfMe/article/details/3581086
版权

 ASP有一个最省力的做法.供参考  
  一般asp的数据库连接是单独一个文件,在这个文件里加上过滤所有来自Form和Querystring的数据  
   
  <%  
   
  If   CheckAllQueryString=1   Or   CheckAllForm=1   Then  
  Call   CheckError()  
  End   If  
   
  Sub   OpenDB(   objDB   )  
  objDB.open   Application("strConnString")  
  End   Sub  
   
  '检查所有的QueryString是否包含危险代码  
  Function   CheckAllQueryString()  
  Dim   N  
  Dim   R  
  Dim   Code  
  Code   =   0  
  For   Each   N   In   Request.QueryString  
  R   =   Request.QueryString(N)  
  If   R<>""   Then  
  R   =   LCase(R)  
  If   Instr(1,R,"update")>0   Then   Code   =1  
  If   Instr(1,R,"delete")>0   Then   Code   =1  
  If   Instr(1,R,"select")>0   Then   Code   =1  
  If   Instr(1,R,"   or   ")>0   And   Instr(1,R,"=")>0   And   Instr(1,R,";")>0   Then   Code   =1  
  If   Instr(1,R,"   t_")>0   Then   Code   =1  
  End   If  
  Next  
  CheckAllQueryString   =   Code  
  End   Function  
   
   
  '检查所有的QueryString是否包含危险代码  
  Function   CheckAllForm()  
  Dim   N  
  Dim   R  
  Dim   Code  
  Code   =   0  
  For   Each   N   In   Request.Form  
  R   =   Request.Form(N)  
  If   R<>""   Then  
  R   =   LCase(R)  
  If   Instr(1,R,"update")>0   Then   Code   =1  
  If   Instr(1,R,"delete")>0   Then   Code   =1  
  If   Instr(1,R,"select")>0   Then   Code   =1  
  If   Instr(1,R,"   or   ")>0   And   Instr(1,R,"=")>0   And   Instr(1,R,";")>0   Then   Code   =1  
  If   Instr(1,R,"   t_")>0   Then   Code   =1  
  End   If  
  Next  
  CheckAllForm   =   Code  
  End   Function  
   
   
  Sub   CheckError()  
  Response.Write   "页面访问错误,请与管理员取得联系!"  
  Dim   CheckObjDB  
  Dim   CheckObjRS  
  Set   CheckObjDB   =   Server.CreateObject("Adodb.Connection")  
  Set   CheckObjRS   =   Server.CreateObject("Adodb.RecordSet")  
  OpendB   CheckObjDB  
   
  CheckObjRS.Open   "Select   Top   1   *   From   t_ErrPage",CheckObjDB,2,2  
  CheckObjRS.AddNew  
  CheckObjRS("AccountID")   =   Session("AccountID")  
  CheckObjRS("ErrPage")   =   Request.ServerVariables("URL")  
  CheckObjRS("Request")   =   Request.ServerVariables("QUERY_STRING")  
  CheckObjRS("IP")   =   Request.ServerVariables("REMOTE_ADDR")  
  CheckObjRS.Update    
   
  CheckObjRS.Close()  
  Set   CheckObjRS   =   Nothing  
  CheckObjDB.Close()  
  Set   CheckObjDB   =   Nothing  
  Response.End  
  End   Sub  
 

http://www.secnumen.com/technology/sql027.htm

OnlyOfMe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c#如何解决SQL注入问题
Tang_AHMET的博客
03-22 2250
c#如何解决SQL注入问题 1:这个问题大部分是防止用恶意输入,以及特殊字符,如果是不是正确的就会删除,c#在vs链接数据库上一篇博文已经讲过了, 如何连接数据库, 参考:https://blog.csdn.net/Tang_AHMET/article/details/105020004 2:在注入的时候替换成@,后面在进行添加值 干货!直接贴代码 using System; using Sys...
ASPSQL Injection方法
dislocation的专栏
03-06 931
 原以为SQL注入已经是过时的话题,最近工作上发现许多网站还是存在着这方面的漏洞。不少网管对“‘”和关键字过滤,对于网上流行的一些SQL注入工具还是毫无作用。看来老话题还得重谈,SQL注入还需要更多的关注。 通常判断网站是否存在SQL注入漏洞,可以通过下面3种方法。1.数字型 "select * from table_name where field_name=1"1 and
ASP注入代码
最新发布
龙狼刺的博客
04-27 626
ASP注入代码
ASPSQL注入的方法
三楼一郎(狼窝)
12-25 3558
 前一篇我们介绍了一种SQL注入的终极方法,也就是最原始、最简单、最有效也是最通用的方法,就是数据类型的检查加单引号的处理,具体的内容前面一篇已经介绍过了,这里我就不重复了,下面我们将要介绍另一种在ASPSQL注入攻击的方法,该方法不仅仅在ASP里适用,实际上可以在任何使用ADO对象模型与数据库交互的语言中,准确的说称之为基于ADO对象模型的SQL注入的方法或许更恰当些。好了废话不说了,来
最简单有效的SQL注入的两种方法
ddy2000的专栏
08-22 744
数据库系统,一个重要的问题防止注入,下面是最简单有效的方法:1、输入的数据(字符)单引号替换成双单引号;如(ASP):strSql = "Select * From [pH_Person_Searcher] Where Perid="&Repace(Perid,"","")&"" 2、参数化,使用存储过程等方式传入输入进行下一步操作;如(ASP): Set
ASPSQL注入攻击程序
::古埃及象形文字::
08-10 1004
    SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。  IIS传递给
Asp防止sql 注入
weixin_30840573的博客
01-04 83
<% dim sql_injdata sql_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|iframe|url=|href|<script>|</script>|<iframe>|</ifram...
asp.net 防止SQL注入攻击
10-29
asp.net网站防止SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站防止注入
asp 防止SQL注入代码
01-20
把下面代码复制到每个文件头部就可以防止SQL注入了,写程序安全最重要 :) <% Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx ‘—定义部份 头—— Fy_Cl = 1 ‘处理方式:1=提示信息,2=转向页面,3=...
ASP.NET防止SQL注入的方法示例
01-20
定期进行代码审计,使用最新的安全最佳实践,并及时修复已知的安全漏洞,这些都是防止SQL注入和其他安全问题的重要步骤。此外,定期更新和学习关于ASP.NET安全的知识,如了解新的攻击手段和御策略,可以帮助提高...
最新ASP通用SQL注入代码
10-13
这是经过整理和测试的,最新ASP通用SQL注入代码。 很简洁也很好用.和大家分享.
asp通用SQL注入文件
11-21
asp通用SQL注入文件,这只是比较通用的
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
ASP网页SQL注入的代码
a32232730的博客
11-29 83
以下为引用的内容:<% Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx '---定义部份 头------ Fy_Cl = 1 '处理方式:1=提示信息,2=转向页面,3=先提示再转向 Fy_Zx = "index.Asp" '出错时转向的页面 '---定义部份 尾------ On Error Resume Next Fy_...
(论坛答疑点滴)有关sql注入
03-12 1426
http://community.csdn.net/Expert/topic/3803/3803170.xml?temp=.6236078大家存在5点误区:1、sql注入比较难,需要替换select,delete等一打字符其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。2、忽略DropDownList传来的东西其实是不对的,一切客户端的东西都
解决ASPSQL注入攻击程序问题
收集盒 Book box
09-10 827
现在比较流行的SQL注入工具的工作方式是通过GET和POST来完成具体的注入。我们可以将注入时所用到的一切符号过滤掉。那么我们可以通过简单的判断语句来达到目的。我们先来过滤GET吧。 代码如下: dim sql_injdata SQL_inj SQL_Get SQL_injdata = "’|and|exec|insert|select|delete|update|count|*|%|chr
ASP程序安全-如何防止sql注入
wangmj518的专栏
04-15 898
在做安全配置前,我们先了解一下入侵者的攻击手法。现在很流行注入攻击,所谓注入攻击,就是利用提交特殊地址将ASP中引用的正常SQL语句和入侵者所需要的SQL语句一并执行,使入侵者达到入侵的目的。现在更是有一些脚本注入工具发布,使菜鸟也可以轻松完成对ASP注入攻击。那么我们先来了解一下这些工具是怎样注入的。 J V J Z.];X A @ A0首先,入侵者会对一个网站确定可不可以进行注入,假设一篇
aspsql防止注入的方法
weixin_33813128的博客
10-18 110
先写个conn_security.asp页面,代码如下: &lt;% dim sql_injdata SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" SQL_inj = split(SQL_Injdata,"|") I...
深入解析ASP SQL注入漏洞
为了防止SQL注入,开发者应遵循以下最佳实践: 1. 使用预编译的SQL语句,如ADO.NET的SqlCommand对象,结合参数化查询,确保用户输入不会影响查询结构。 2. 对用户输入进行严格的验证和过滤,拒绝包含特殊字符的数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值