防注入的办法

最新推荐文章于 2024-05-15 22:28:21 发布
最新推荐文章于 2024-05-15 22:28:21 发布
阅读量392 收藏
点赞数
分类专栏: asp 文章标签: asp

这是网上搜来的防注入的办法:
<%

'检查URL输入 限制非法字符
url=LCase(request.querystring())
ip=request.ServerVariables("REMOTE_ADDR")
pos1=instr(url,"%")
pos2=instr(url,"'")
pos3=instr(url,";")
pos4=instr(url,"where")
pos5=instr(url,"select")
pos6=instr(url,"chr")
pos7=instr(url,"/")
pos8=Instr(url,"and")
pos9=Instr(url,"update")
pos10=Instr(url,"delete")
pos11=Instr(url,"count")
if pos1<>0 or pos2<>0 or pos3<>0 or pos4<>0 or pos5<>0 or pos6<>0 or pos7<>0 or   pos8<>0 or pos9<>0 or pos10<>0 or pos11<>0 then
response.Write "你尝试使用危险字符,系统已经对此做了记录如下<Br>您的IP:"&ip&"<br>操作时间:"&date()&""
response.End()
end if

'检查表单输入,限制非法字符
'使用request.QueryString来索引request的所有资料,作为SQL检查之用
'如出现非法字符则自动停止输出
for i_request = 1 to request.form.Count
if instr(request.form(i_request),"'")<>0 or instr(request.form(i_request),";")<>0 or instr(request.form(i_request),"%")<>0 or instr(request.form(i_request),"where")<>0 or instr(request.form(i_request),"select")<>0 or instr(request.form(i_request),"chr")<>0 or instr(request.form(i_request),"/")<>0 or instr(request.form(i_request),"and")<>0 or instr(request.form(i_request),"update")<>0 or instr(request.form(i_request),"delete")<>0 or instr(request.form(i_request),"count")<>0 then
Response.Write "<script language='javascript'>history.back(); alert('你尝试使用危险字符,系统已经对此做了记录如下\n您的IP:"&ip&"\n操作时间:"&date()&"');</script>"
response.End()
end if
next

%>
把以上这些代码单独存在一个文件中,比如kdc.asp,然后在conn.asp中include一下就可以了。
注:如果是上传页面里,而且接收数据用的是upload.form()就不能用上面这段代码了。

skfzc
关注
专栏目录
C#SQL注入代码的三种方法
12-31
为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全设施要做到位。  下面说下网站注入的几点要素。  一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。  二:如果用SQL语句,那就使用参数化...
python+Django实现止SQL注入办法
01-02
先看看那种容易被注入的SQL id = 11001 sql = SELECT id, name, age FROM student WHERE id = +id+ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for ...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6637
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
注入
yanick技术博客
09-01 710
string sql = "insert into 表名 values(@字段)";SqlParameter s = new SqlParameter("@字段", FileByteArray);SqlCommand cmd = new SqlCommand(sql, conn);//conn为SqlConnection实例对象cmd.Parameters.Add(s);conn.Open();c
注入攻击
weixin_30823227的博客
08-19 281
1、可以注入攻击的登录 package pers.jdbc.log; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; import java.util.*; public class L...
数据库注入攻击
xkjscm的博客
04-30 641
这是学习笔记: 在表单提交之后, 我们通过  $_POST   或者  $_GET 获取表单数据, 然后插入数据库,   例如 $age 和 $name  是从表单提交的数据,  $age 是整形,  $name 是String,  $age 需要在插入数据库之前使用   intval() 转换为整形, $name  需要在SQL语句中使用 单引号 引起来
php中止sql注入攻击
大鱼人不能忍烫金竹纤维短袖
01-17 785
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下: $sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". my
360_safe3通用XSS/SQL注入源代码(ASP/PHP/C#ASP.NET)
09-06
360_safe3通用XSS/SQL注入源代码(ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
php简单实现sql注入的方法
10-22
因此,PHP实现SQL注入是保证网站安全的重要措施之一。 php简单实现SQL注入的方法中,首先提到的工具是addslashes()函数。addslashes()函数通过向字符串添加反斜杠,对引号、反斜杠、NULL等字符进行转义,从而...
止SQL注入的5种方法
06-13
止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
如何绝对注入
m0_50453514的博客
04-15 3747
前不久的时候,发小 说不敢把自己的代码发到github上面,怕很多人找bug比较麻烦,我同时也在思考一个问题,平时审计或者黑盒的时候都没有留意,总是想着如何进攻别人,现在换一个角度来总结一下,如何做到百分百注入呢,也许从这个角度学习会让我进步更快。
sql注入几种惯用策略
L_yangliu的专栏
07-27 1341
所谓sql注入,是由表单提交时,后台拼接sql语句造成的。如此,会给系统带来很大的破坏,甚至导致整个数据库被清掉,或删除。因此必须做好注入操作。关于这个问题,成熟的方案有很多,现在总结如下: 一,从根源上解决问题,也就是在接受表单提交时,要特别注意sql拼接处理可能带来的影响,避免给黑客留下突破口。 二,使用转义,经常用到的函数有:mysql_real_escape_string(php5已
SQL注入方法
weixin_45363630的博客
09-10 200
public static string FilterSpecial(string text) { if (text == "") { return text; } else { text = text.Replace("'", ""); ...
用这个函数代替Request,可以止SQL注入.
BeautifulMouseBlog
11-29 921
用这个函数代替Request,可以止SQL注入.Function SafeRequest(ParaName,ParaType)       ParaName:参数名称-字符型       ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)       Dim Paravalue       Paravalue=Request(ParaName)      
#{}如何止SQL注入的?它的底层原理是什么?_sql #
最新发布
2401_84239830的博客
05-15 730
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
御和检查SQL注入攻击的手段
ydy277163648的专栏
08-27 604
知彼知己,方可取胜。首先要清楚SQL注入攻击有哪些种类。   观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的。虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应范措施。
登录注入最简单的实现
SicongFu的博客
10-09 1875
原来是这样写的,当我登录时输入:' or 1=1 -- 会导致登录成功!这样让我必须要做注入。 /** * 获取登录用户 * @param userName * @param md5password * @return */ /* @SuppressWarnings("unchecked") public Map getFa
四种止SQL注入的解决方案
weixin_43702295的博客
01-11 5290
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement止SQL注入mybatis中#{}止SQL注入对请求参数的敏感词汇进行过滤。
江西农大招生就业网遭遇搜索型注入攻击:SQL安全漏洞解析
攻击者会利用这一特性寻找绕过方法,如`'/'`字符可能被转义为`%2F`,但仍有办法构造SQL注入。 5. **SQL转换异常**: - 在尝试将SQL字符串转换为整数类型时(如`nvarchar`到`int`),如`'JXAU-H1LI7JSV2I'`,如果值...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值