该文件可以包含在任何需要调用数据库的ASP文件头部,直接过虑掉非法注入

最新推荐文章于 2022-04-21 20:21:31 发布
最新推荐文章于 2022-04-21 20:21:31 发布
阅读量401 收藏
点赞数
分类专栏: ASP 文章标签: 数据库 asp javascript insert server delete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fredtaylor/article/details/3033513
版权

<%
'该文件可以包含在任何需要调用数据库的ASP文件头部,直接过虑掉非法注入
'调用方法为:
<!-- #include file="safe.asp" -->

Function Safe(str)'该函数用来判断传递过来的变量是否包含特殊字符,没有返回TRUE
  Dim s_BadStr, n, i
  s_BadStr = "'  &<>?%,;:()`~!@#$^*{}[]|//+-="&Chr(34)&Chr(9)&Chr(32)
  n = Len(s_BadStr)
  Safe = True
 
  For i = 1 To n
    If Instr(str, Mid(s_BadStr, i, 1)) > 0 Then
      Safe = False
      Exit Function
    End If
  Next
End Function
'以下代码直接判断发生请求的URL是否包含非法字符
On Error Resume Next
Dim strTemp

If LCase(Request.ServerVariables("HTTPS")) = "off" Then
 strTemp = "http://"
Else
 strTemp = "https://"
End If

strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")
strTemp = strTemp & Request.ServerVariables("URL")

If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)
strTemp = LCase(strTemp)

If Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators")  or Instr(strTemp,"db_name(") or Instr(strTemp,"net%20user") or Instr(strTemp,"'") or Instr(strTemp,"%20or") or Instr(strTemp,"backup%20") then
  Response.Write "<script language='javascript'>"
  Response.Write "alert('非法地址!!');"
  Response.Write "location.href='http://www.myzone.cn';"
  Response.Write "</script>"
End If

For Each name In Request.Form
   Dim s_BadStr, s_Sz, i
  s_BadStr = "'|and|select|update|chr|delete|from|;|insert|mid|master.|truncate|db_name|xp_cmdshell|exec%20master|net%20localgroup%20administrators|drop|table|db_name(|exec"
  s_Sz = split(s_BadStr,"|")
  For i = 0 To ubound(s_Sz)
    If Instr(Request.Form(name), s_Sz(i)) > 0 Then
    Response.Write "<script language='javascript'>"
    Response.Write "alert('非法地址!!');"
    Response.Write "location.href='http://www.myzone.cn';"
    Response.Write "</script>"
    End If
  Next
Next
 %>

fredtaylor
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP开发中数据库文件调用的捷径
01-02
引言 本文针对ASP程序设计中最基础、也是最关键的部分”数据库文件调用”进行说明,同时谈谈ASP程序设计中数据库文件调用的一些技巧。 ASP简介 ASP(Active Server Pages)是微软于1996年推出的Web应用程序...
净化网络环境 ASP程序实现过滤脏话
暗淡亮点的博客
10-28 665
在使用程序的朋友都会有这样的麻烦,在做用户可以提交信息的程序的时候,经常会输入一些脏话,特别是在做评论功能或者留言功能的时候,如何过滤这些脏话呢?下面我就来介绍一下其中一种方法,这种方法是需要数据库的,可以在后台管理要过滤哪些脏话,可以自由添加。以下是代码:content=Replace_Text(request.Form("content"))content=replace(content,"c
四、ASP文件的基本格式及新建方法
糖果π
09-08 5475
1、 :ASP文件和HTML文件很相似,都包含有HTML标签,不同的是ASP文件中还包含有服务器端脚本代码。ASP用“”来表示服务器端脚本的结束。 2、ASP中的注释 ASP中注释写法与VBA一样,可以用“REM”和“'”,通常文件头注释出于美观选用“REM”,其它地方一般选用“'”。 3、变量命名规则  asp变量是不区分大小写的,但建议每个单词的第一个字母大写,如:“s
asp能否打开文件头被修改过的文件头的图?
quhunjie3064的博客
01-02 308
本意就是加密文件,别人下载到本地,由于更改过文件头,直接打开肯定是打不开的 但我想如何通过网页能打开呢(文件头是有序修改的) 能否在asp,先修改文件头,再读取文件
彻底解决asp注入漏洞的方法
亮一方购物导航
07-28 1841
 本人最近研究彻底解决asp注入漏洞的方法!希望大家多提建议原理,就是象java一样使用preparestatement.下面例子连接的是sql server数据库代码如下:PrepareSql.asp 定义数据库操作常量 Const adStateClosed = 0 Const adOpenForwardOnly = 0, adOpenKeyset = 1, adOpenDynamic
SQL注入介绍
妖魔鬼怪快离开的博客
03-11 2208
目录(一)SQL注入1.1 什么叫SQL注入1.2 SQL注入分类1.3 SQL漏洞探测1.4 SQL注入常用函数1.5 SQL注入防御 (一)SQL注入 1.1 什么叫SQL注入 程序不判断和处理用户输入数据的合法性,这使得攻击者能够在管理员不知情的情况下向Web应用程序中的预定义SQL语句添加额外的SQL语句并实施非法操作,从而欺骗数据库服务器执行未经授权的任意查询, 从而进一步获取数据信息。 简而言之,SQL注入是将SQL语句包含在用户输入的字符串中,如果在设计不佳的程序中忽略检查,注入的SQ
sql 整改措施 注入_改进的SQL防注入(加强抑错)-ASP教程,安全加密
weixin_33609020的博客
01-12 107
asp注入之解决方案特殊页面处理因为有些页通过流式传递(比如含有文件上传的表单)如果单一使用穷举form对象的操作就会出错所以要把这些页面过滤出来,同时在页面中使用sql(“检测的字串”)才行垃圾猪[email protected]://blog.csdn.net/cfaq源码下载http://www.new57.com/softback/sql.rar将本页用include方法放在头部以让所...
解决ASP防SQL注入攻击程序问题
收集盒 Book box
09-10 815
现在比较流行的SQL注入工具的工作方式是通过GET和POST来完成具体的注入。我们可以将注入时所用到的一切符号过滤。那么我们可以通过简单的判断语句来达到目的。我们先来过滤GET吧。 代码如下: dim sql_injdata SQL_inj SQL_Get SQL_injdata = "’|and|exec|insert|select|delete|update|count|*|%|chr
SQL注入之堆叠及WAF绕过注入
av11566的博客
04-21 4456
前言 在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF的绕过,而绕过WAF前肯定需要对WAF的工作原理有一定的理解。 所需知识 1. 堆叠查询注入 定义 Stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实 的运用中也是这样的,我们知道在mysql中,主要是命令行中,每
vue项目中在外部js文件直接调用vue实例的方法比如说this
10-17
主要介绍了vue项目中在外部js文件直接调用vue实例的方法比如说this,需要的朋友可以参考下
帝国CMS下在PHP文件调用数据库类执行SQL语句实例
09-29
主要介绍了帝国CMS下在PHP文件调用数据库类执行SQL语句实例,本文还详细介绍了帝国CMS数据库类中的一些常用方法,需要的朋友可以参考下
ASP.NET程序中存储和调用word文件.docx
11-21
ASP.NET程序中配合SQL Server2000进行word文件的存储和调用过程(没有使用VBA ) 数据流 读取数据时先将数据从数据库中读入缓冲区,然后再从缓冲区写入最终文件。因此首先要开辟一个缓冲区并设定它的大小,每当缓冲...
Sql Server 数据库调用dll文件的过程
01-19
1.首先新建一个空的解决方案,并添加一个类库,代码如下,编译并生产dll using System; using System.Collections.Generic; using System.Data.SqlTypes; using System.Linq; using System.Text;...
ASP格式化日期的函数(输出13种样式)
CSDN版
11-12 1102
================================================  函数名:FormatDate  作  用:格式化日期  参  数:DateAndTime   ----原日期和时间          para   ----日期格式  返回值:格式化后的日期  ==============================
用ISAPI_Rewrite实现asp的静态化
CSDN版
05-16 568
ASP网站程序在国内运用很广,但是类似于im286.asp?id=20050307213811这样的URL有点不利于搜索引擎的收录,也就是说不符合友好URL(URLs-Friendly)的标准,那么我们用ISAPI_Rewrite打造一个Clean URL,1.下载ISAPI_Rewrite.ISAPI_Rewrite分精简(Lite)和完全(Full)版.精简版不支持对每个虚拟主机站点进行重
取汉字拼音首字母的存储过程
CSDN版
10-08 442
Create  function fun_getPY  (     @str nvarchar(4000)  ) returns nvarchar(4000) as begin   declare @word nchar(1),@PY nvarchar(4000)   set @PY=   while len(@str)>0   begin     set @word=left(@str,1)
ASP注入之解决方案--加强版
CSDN版
10-08 373
ASP注入之解决方案特殊页面处理因为有些页通过流式传递(比如含有文件上传的表单)如果单一使用穷举Form对象的操作就会出错所以要把这些页面过滤出来,同时在页面中使用sql("检测的字串")才行将本页用include方法放在头部以让所有页都可以调用,比如include在conn.asp里如果有流式上传的页面请把该页加到表page中,以防form冲突Dim N_no,N_noarr
在互信设置后,远程调用脚本中为什么无法使用Sqlplus调用数据库文件
最新发布
06-09
1. Sqlplus环境变量未正确配置:在互信设置后,远程调用脚本时,需要确保Sqlplus的环境变量已正确配置,否则会导致无法调用数据库文件。可以通过在脚本中手动设置环境变量的方式来解决这个问题。 2. 数据库文件路径...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值