目录
内容简介
这个文档摘录片段主要讨论了ASP编程中的安全性审计,包括SQL注入漏洞、Cookie注入防范措施及文件上传安全问题,并给出了相关示例代码。
SQL注入漏洞与防范
- ASP代码中展示了如何通过`Request.QueryString`和`Request.Form`获取用户输入并将其用于SQL查询语句构建,这容易导致SQL注入攻击。例如,`articleid=request("film2")`和`urlid=request("film1")`用于构造SQL查询时未经充分过滤,可能会让恶意用户注入SQL命令。
- 针对GET方式提交的数据,演示了一种简单的SQL注入防御方法,通过遍历并检查`Request.QueryString`中的每个键值对,看是否包含预定义的一系列危险字符序列(如单引号、分号等)。当检测到非法字符时,记录用户的IP地址和其他相关信息,并返回警告信息。
Cookie注入