尘封防SQL注入 V1.0

最新推荐文章于 2024-10-11 22:52:08 发布
最新推荐文章于 2024-10-11 22:52:08 发布
阅读量1k 收藏
点赞数
分类专栏: web开发 文章标签: sql javascript asp each include 数据库

<%
'----------------------------------------------------------------------
'转发时请保留此声明信息,这段声明不并会影响你的速度!
'*******************    尘封防SQL注入 V1.0   ********************************
'作者:尘封 QQ:275171
'电子邮件:275171@qq.com
'网站:http://www.1715.cn http://www.77do.com
'QQ群:13683242(ASP爱好者群)
'此程序测试地址:http://www.77do.com/sql/index.asp
'声明:在做此防SQL之前,我个人都是使用网上那些的防SQL注入,因为那些防SQL有个共同点,就是屏蔽某一SQL语句需要的关键字,前些时间我接了一个国外的程序外包,因此程序的使用者都是些国外用户,如果使用网上那些SQL注入的话,屏蔽:'|select|update|chr|char等等 字符或单词,给国外用户带了非常大的不便,如 I'm等就无法输入。因此开发了此防SQL注入。可能程序还不够完善,希望大家多提提意见,一起来完善此程序。
'使用说明:在数据库连接页(如:conn.asp)或你要防注入的页头内包含此文件即可。<!--@include file="CF_Sql.asp"-->(将@改为#)


Dim CFSql_i,CFSql_Sqlchr,CFSql_ChrContent
CFSql_Sqlchr = "select*|and'|or'|insertinto|deletefrom|altertable|update|createtable|createview|dropview|createindex|dropindex|createprocedure|dropprocedure|createtrigger|droptrigger|createschema|dropschema|createdomain|alterdomain|dropdomain|);|select@|declare@|print@|char(|select"
CFSql_Sqlchrs = split(CFSql_Sqlchr,"|")


'======================================================
'Post方式处理
'======================================================
If Request.Form<>"" Then
   For Each CFSql_ChrContent In Request.Form
     For CFSql_i=0 to Ubound(CFSql_Sqlchrs)
    Select Case CFSql_Sqlchrs(CFSql_i)
    Case "select"'为避免select的多表关联查询
       If Instr(LCase(replace(Request.Form(CFSql_ChrContent)," ","")),"select")>0 and Instr(LCase(replace(Request.Form(CFSql_ChrContent)," ","")),"from")>0 Then
      Call CFSql_PromptTitle()
    End IF   
    Case "update"'update作额外处理,因update..set..
       If Instr(LCase(replace(Request.Form(CFSql_ChrContent)," ","")),"update")>0 and Instr(LCase(replace(Request.Form(CFSql_ChrContent)," ","")),"set")>0 Then
      Call CFSql_PromptTitle()
    End IF   
    Case Else
       If Instr(LCase(replace(Request.Form(CFSql_ChrContent)," ","")),CFSql_Sqlchrs(CFSql_i))>0 Then
      Call CFSql_PromptTitle()
    End IF
    End Select
     Next
   Next   
End IF

 

'======================================================
'Get方式处理
'======================================================
If Request.QueryString<>"" Then
   For Each CFSql_ChrContent In Request.QueryString
     For CFSql_i=0 to Ubound(CFSql_Sqlchrs)
    Select Case CFSql_Sqlchrs(CFSql_i)
    Case "select"'为避免select的多表关联查询
       If Instr(LCase(replace(Request.QueryString(CFSql_ChrContent)," ","")),"select")>0 and Instr(LCase(replace(Request.QueryString(CFSql_ChrContent)," ","")),"from")>0 Then
      Call CFSql_PromptTitle()
    End IF   
    Case "update"'update作额外处理,因update..set..
       If Instr(LCase(replace(Request.QueryString(CFSql_ChrContent)," ","")),"update")>0 and Instr(LCase(replace(Request.QueryString(CFSql_ChrContent)," ","")),"set")>0 Then
      Call CFSql_PromptTitle()
    End IF   
    Case Else
       If Instr(LCase(replace(Request.QueryString(CFSql_ChrContent)," ","")),CFSql_Sqlchrs(CFSql_i))>0 Then
      Call CFSql_PromptTitle()
    End IF
    End Select
     Next
   Next   
End IF


Sub CFSql_PromptTitle()
Response.Write "<Script Language=JavaScript>alert('SQL通用防注入系统提示你↓/n/n请不要在参数中包含非法字符尝试注入!/n/nhttp://www.1715.cn/n/http://www.77do.com  /n/n系统版本:V1.0(ASP)版 By:尘封');</Script>"
response.Write "<script LANGUAGE='javascript'>history.go(-1);</script>"
response.End()'提示就结束输出
End Sub%>

另存为:CF_Sql.asp文件就可以了

 
dragonbbc
关注
专栏目录
基于Java的飞机大战游戏的设计与实现论文
huaying0的博客
03-28 8606
源码下载 http://www.byamd.xyz/hui-zong-1/ 摘 要 现如今,随着智能手机的兴起与普及,加上4G(the 4th Generation mobile communication ,第四代移动通信技术)网络的深入,越来越多的IT行业开始向手机行业转移重心。而手机行业中游戏方面的利润所占比重较大,并且手机游戏大多数则是由Java语言开发研制的。所以我想顺应时代发展,用学到的Java知识对游戏进行一次深入的了解与创作。 Java语言在我们大学学习中占了很大的比重,其优点甚多:面
Vue写项目后台SpringBoot 01
热门推荐
aaaaaaddddsssss的博客
01-31 2万+
打开idea,配置好maven 新建一个SpringBoot项目 如果没在这选择依赖,在pom.xml中加也是一样的。 resources目录下的application.properties配置文件,数据库之类的 server.port=8888 #tomcat 端口号 spring.datasource.driver-class-name=com.mysql.jdbc.Driver #数据库版本包 spring.datasource.username=root #数据库名 spring.data
SQL注入的四种方案
dehuisun的专栏
09-05 1万+
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
【读书笔记】《白帽子讲web安全》我的安全世界观
uuzeray的博客
01-06 1254
即将考试周了,考前死盯着那几门复习不是我的作风,但花大功夫去学一些新的技术时间会有些吃紧。所以翻出这本尘封已久的道哥著作,挑战这本让三个月前的自己败下阵来的小部头,希冀每天有所思考有所沉淀,深化对web安全的理解。冷静下来,暂时从具体的技术细节脱身,冷静审视安全本身为何。“种一棵树的最好时间是十年前,其次是现在。
SSM框架之---Mybatis的学习笔记
尘封丶的博客
03-20 323
SSM框架之---Mybatis的学习笔记
Spring Boot 初级入门教程(十九) —— 配置多数据源(附源码)
码园平常事
03-19 939
距上篇文章《Spring Boot 初级入门教程(十八) —— 集成 MyBatis 另外一种开发方式》已跨了两个年头,时间确实有些久了!!!这么久没更新这个系列,一则由于自己确实忙了些,项目一个接一个的加班整;再者,由于项目需要,写了些其它方面的文章,比如关于 kafka、redis、IDEA 等。 另外,自己又买了个共享虚机,开通了尘封已久的博客,由于 .com 域名被别人抢注了,所以换成了...
基于Java的飞机大战游戏的设计与实现(含源文件)
【完整】
03-08 6996
欢迎添加微信互相交流学习哦! 项目源码:https://gitee.com/oklongmm/biye 基于Java的飞机大战游戏的设计与实现 摘 要 现如今,随着智能手机的兴起与普及,加上4G(the 4th Generation mobile communication ,第四代移动通信技术)网络的深入,越来越多的IT行业开始向手机行业转移重心。而手机行业中游戏方面的利润所占比重较大,并且手机游戏大多数则是由Java语言开发研制的。所以我想顺应时代发展,用学到的Java知识对游戏进行一...
尘封SQL注入 -ASP源码.zip
12-13
"尘封SQL注入 - ASP源码.zip"这个压缩包可能包含了一套过时但仍然有价值的ASP源码,其重点在于SQL注入攻击。SQL注入是网络安全中常见的攻击方式,攻击者通过在输入框中插入恶意SQL代码,试图绕过验证,获取、...
尘封SQL注入.rar
07-05
网上那些SQL注入的话,屏蔽:'|select|update|chr|char等等 字符或单词,给国外用户带了非常大的不便,如 I'm等就无法输入。因此开发了此SQL注入。可能程序还不够完善,希望大家多提提意见,一起来完善此程序。
尘封留言板 v1.0
03-18
尘封留言板 v1.0】是一款基于ASP技术开发的简单聊天留言系统,适用于初学者进行学习和实践。ASP(Active Server Pages)是微软推出的一种服务器端脚本环境,用于生成动态网页。在这个版本中,我们可以看到一个基本...
PostgreSQL 创建账号与数据库:从连接到权限配置的完整指南
敲代码别忘了喝上一杯凉白开。
10-04 789
本文详细讲解了如何在 PostgreSQL 数据库中创建账号和数据库,并为该账号配置相关权限的完整过程。通过使用 psql 连接数据库,创建用户和数据库,以及授予数据库访问权限,用户可以轻松完成 PostgreSQL 的账号和数据库管理。文章还介绍了如何使用新账号登录数据库并运行 SQL 文件进行数据操作,提供了从连接、创建、授权到执行 SQL 的一站式操作指南,适用于数据库初学者和管理员。
PostgreSQL:json数据处理
最新发布
m0_72560900的博客
10-11 256
在 PostgreSQL 中,处理 JSON 数据的功能非常强大,尤其是针对嵌套的 JSON 结构和 JSON 数组的查询。以下是一些处理 JSON 数据的常见操作和具体的案例,主要展示如何从 JSON 和 JSON 数组中获取指定 key 的值。
PostgreSQL的WAL日志优化及验证
Java_fenxiang的博客
10-05 877
在应用负载不变的情况下可以通过如下方法进行WAL优化登录后复制 1) 延长checkpoint时间间隔 FPI产生于checkpoint之后第一次变脏的page,在下次checkpoint到来之前,已经输出过FPI的page是不在需要再次输出FPI。因此checkpoint时间间隔越长,FPI产生的频度会越低。增大ch...
【text2sql】基于上下文文学习的MCS-SQL框架在Spider和BIRD取得了新SOTA
m0_46686599的博客
10-11 436
研究背景:大型语言模型(LLMs)在文本到SQL(Text-to-SQL)任务中,通过上下文学习(ICL)方法取得了显著的性能提升,但与人类专家相比,性能仍有较大差距,尤其是在处理复杂数据库模式和查询的基准测试中。 研究方法:本研究提出了一种新方法,利用多个提示(multiple prompts)来探索更广泛的可能答案空间,并有效聚合这些答案。通过多提示强化数据库模式链接,生成多样化的候选SQL查询,并基于置信度分数过滤这些查询,最后通过多项选择(multiple-choice selection)获取最优
[SQL] 数据库增删改操作
qq_45280097的博客
10-11 88
【代码】[SQL] 数据库增删改操作。
Pikachu-Sql-Inject -基于boolian的盲注
guanrongl的专栏
10-03 816
布尔型盲注入用到得SQL 语句select if(1=1,1,0) if()函数在mysql 是判断,第一个参数表达式,如果条件成立,会显示1,否则显示0。从前面已经知道有个用户 为 vince ,如果长度判断正确,回返回vince 这个用户,错误则显示不存在;if(a,b,c) :a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0。2、不管是正确的输入,还是错误的输入,都只显示两种情况,true or false;第一个 1 ,代表查第一张表,第二个1,1 代表查第一个字母;
一文介绍SQL标准1986~2023的演变
云原生智能数据管理平台
10-11 597
SQL标准1986年制定第一版,到最新的2023版,已经有38年的历史,现在依然是计算机非常活跃的语言,50%的程序员都能掌握SQL,数据分析师也是SQL的主要使用人员之一。从早期的基本语法,到融合了XML、JSON等复杂数据类型,存储过程标准,元数据标准等等等,SQL语言规范发生巨大的变化,。
毕业设计_基于SpringBoot+vue的社区博客系统【源码+SQL+教程+可运行】41002
qq_24428851的博客
10-04 785
创建数据库,执行./sql/graduation.sql中的脚本,初始化数据库表结构。如果没有清空和数据库:账号/密码: nilbrains/123456。启动方法 与上述一致。
ASP源码SQL注入压缩包下载
资源摘要信息:"尘封SQL注入 -ASP源码.zip" 知识点一:ASP简介 ASP(Active Server Pages)是一种服务器端的脚本环境,主要用于开发动态交互式网页。ASP是微软公司开发的一种简单易学的编程脚本语言,它的编程代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值