ASP防SQL注入攻击程序

最新推荐文章于 2020-07-02 16:51:38 发布
最新推荐文章于 2020-07-02 16:51:38 发布
阅读量756 收藏
点赞数
分类专栏: WEB开发 文章标签: sql asp insert delete each 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tjai110/article/details/1747656
版权

编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。
  IIS传递给asp.dll的get 请求是是以字符串的形式,,当 传递给Request.QueryString数据后,asp解析器会分析Request.QueryString的信息,,然后根据"&",分出各个数组内的数据所以get的拦截如下:
  首先我们定义请求中不能包含如下字符:

|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
 


各个字符用"|"隔开,,然后我们判断的得到的Request.QueryString,具体代码如下 :

dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
 For Each SQL_Get In Request.QueryString
  For SQL_Data=0 To Ubound(SQL_inj)
   if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
    Response.Write "<Script Language=****>alert('天下电影联盟SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入!');history.back(-1)</Script>"
    Response.end
   end if
  next
 Next
End If


这样我们就实现了get请求的注入的拦截,但是我们还要过滤post请求,所以我们还得继续考虑request.form,这个也是以数组形式存在的,我们只需要再进一次循环判断即可。代码如下:

If Request.Form<>"" Then
 For Each Sql_Post In Request.Form
  For SQL_Data=0 To Ubound(SQL_inj)
   if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
     Response.Write "<Script Language=****>alert('天下电影联盟SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入!nnHTTP: //www.521movie.com ');history.back(-1)</Script>"
    Response.end
   end if
  next
 next
end if


我们已经实现了get和post请求的信息拦截,你只需要在conn.asp之类的打开数据库文件之前引用这个页面即可。放心的继续开发你的程序,不用再考虑是否还会受到SQL注入攻击

 
tjai110
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp下过滤非法的SQL字符的函数代码
10-29
过滤非法的SQL字符,sql注入等。里面的体会思路主要运用了批量替换,是个不错的思路。
ASP注入代码
龙狼刺的博客
04-27 541
ASP注入代码
ASP.NET中如何SQL注入攻击
老樊的博客
07-02 299
一、什么是SQL注入攻击? 所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入攻击。常见的SQL注入攻击过程类如: ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。 ⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存
asp终极SQL注入漏洞
chinet_bridge的专栏
10-11 1501
其实SQL注入漏洞并不可怕,知道原理 + 耐心仔细,就可以彻底范! 下面给出4个函数,足够你抵挡一切SQL注入漏洞!读懂代码,你就能融会贯通。 注意要对所有的request对象进行过滤:包括 request.cookie, request.ServerVariables 等等容易被忽视的对象: 复制代码 代码如下: function killn(byval s1)
asp入侵详解
wenbingyeyu的专栏
11-23 1826
一:技术总结     随着互联网络的飞速发展,各种各样的大小网站不断地涌现,在这些大小网站中,动态的网站以其实 用性、多样性占据了绝对的优势。     由于ASP系统在互联网上广泛的应用,针对ASP系统的脚本攻击最近闹得是红红火火。在这些攻击中, 攻击者多是利用注入、暴库、旁注、cookies欺骗等手段获取管理员的权限,     通过直接上传或后台备份等各种入侵手法  
asp.net SQL注入攻击
01-01
只要做到以下三点,网站就会比较安全了而且维护也简单。 一、数据验证类 代码如下:parameterCheck.cs public class parameterCheck{ public static bool isEmail(string emailString){ return System.Text.Regular...
编写通用的asp注入程序
01-20
现在我开始说如果编写通用的sql注入程序 一般的http请求不外乎 get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中 非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到...
SQL 注入式攻击的本质
12-15
有文章还说注入式攻击还会有“第三波”攻击潮,到时候会更加难以察觉,连微软的大佬都跑出来澄清说与微软的技术与编码无关,微软为此还专门推出了三个检测软件,那么这个SQL注入攻击的漏洞究竟是怎么造成的呢?...
针对ASP程序SQL注入攻击概述及范方法研究.pdf
09-19
针对ASP程序SQL注入攻击概述及范方法研究.pdf
asp SQL注入代码
01-20
把下面代码复制到每个文件头部就可以SQL注入了,写程序安全最重要 :) <% Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx ‘—定义部份 头—— Fy_Cl = 1    ‘处理方式:1=提示信息,2=转向页面,3=先提示再转向 Fy_Zx = “Error.Asp”  ‘出错时转向的页面 ‘—定义部份 尾—— On Error Resume Next Fy_Url=Request.ServerVariables(“QUERY_STRING”) Fy_a=split(Fy_Url,”&”) redim Fy_Cs(ubound(Fy_a))
最新ASP通用SQL注入代码
10-13
这是经过整理和测试的,最新ASP通用SQL注入代码。 很简洁也很好用.和大家分享.
asp sql注入 参考代码
04-17
asp sql注入的参考代码 这是我用的网站上的代码 此文件作为包含文件 被包含在每个页面 作用:sql注入
ASPSQL注入方法
xiaosong2008的专栏
10-25 839
      SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。  II
asp SQL注入
love阳光 的专栏
06-26 705
 SQL注入 古老的话题,不需要太多的解释了,这里给出一个解决办法,**********************************SQL注入程序 联系:QQ:49934843 EMAIL:[email protected]***********************************dim sql_Chk_Post,sql_Chk_Get,sql_C
好用的aspSQL注入代码
yujiaping37的博客
08-17 2823
以下为引用的内容: dim sql_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" SQL_inj = split(SQL_Injdata,"|"
Aspsql 注入
weixin_30840573的博客
01-04 75
<% dim sql_injdata sql_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|iframe|url=|href|<script>|</script>|<iframe>|</ifram...
asp过滤SQL注入
站在技术的顶端,才能看清脚下的路该通向何方--技术工程师之路!
01-30 1420
'================================================================================================================ dim conn dim connstr dim db db="data/da.mdb" '数据库文件位置    connstr="Provider=Micros
2023年sql注入全面过滤 aspsql注入代码大全
最新发布
10-24
SQL 注入攻击是应用程序开发中的一个重要问题。ASP 是一种流行的服务器端脚本语言,用于动态生成网页。在编写 ASP 代码时,我们需要采取一系列措施来SQL 注入攻击。 首先,我们需要对输入数据进行验证和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值