ASP防SQL Injection方法

 

原以为SQL注入已经是过时的话题,最近工作上发现许多网站还是存在着这方面的漏洞。不少网管对“‘”和关键字过滤,对于网上流行的一些SQL注入工具还是毫无作用。看来老话题还得重谈,SQL注入还需要更多的关注。

 

通常判断网站是否存在SQL注入漏洞,可以通过下面3种方法。

1.数字型 "select * from table_name where field_name=1"

1 and 1=1  显示正常

1 and 1=2 数据找不到或报错。

 

2.字符型 "select * from table_name where field_name='a'"

a' and 1=1--  显示正常

a' and 1=0--  找不到或报错。

 

3.搜索型 "select * from table_name where  field_name like'%a%'"

a%' and 1=1-- 显示正常

a%' and 1=2-- 找不到或报错。

从上面看出如果在编程的过程中对返回的值不做检查就加以使用,必然导致SQL注入问题。第1个例子,参数是数字型,调用函数IsNumberic判断返回参数是否数字型。对于第23个例子,返回的参数是字符串型。通常将”’”替换成两个单引号或是其他字符串,这种方法对char()函数就无能为力。因此,在过滤单引号的同时还需将一些查询的关键字过滤掉。

 

下面给出一段防范SQL注入的代码,仅供参考。

uti_si.asp

<%

Dim PagePost,PageGet,SIStr,TempStr,FilterStr

'自定义需要过滤的字串, "|" 分隔

FilterStr = "'|;|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"

SIStr = split(FilterStr,"|")

'POST部分

If Request.Form<>"" Then

For Each PagePost In Request.Form

For TempStr=0 To Ubound(SIStr)

If Instr(LCase(Request.Form(PagePost)),SIStr(TempStr))<>0 Then

Response.Write "<Script Language=JavaScript>alert('请不要在参数中包含非法字符尝试注入!');history.back(-1)</Script>"

Response.End

End If

Next

Next

End If

'GET部分

If Request.QueryString<>"" Then

For Each PageGet In Request.QueryString

For TempStr=0 To Ubound(SIStr)

If Instr(LCase(Request.QueryString(PageGet)),SIStr(TempStr))<>0 Then

Response.Write "<Script Language=JavaScript>alert('请不要在参数中包含非法字符尝试注入!');history.back(-1)</Script>"

Response.End

End If

Next

Next

End If

%>

unti_si.asp放到网站中include到需要过滤的网页中。

 

另外网页查询Sql Server的权限应当加以控制,如果是sysadmin或是db_owner的权限,攻击者一旦发现了SQL注入漏洞后果就比较严重了。http://dev.csdn.net/article/61/61969.shtm,这篇文章对Sql Server讲的比较详细,就不多说了。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值