简单的asp防注入代码

<%

Dim XH_Post,XH_Get,XH_Cookie,XH_In,XH_Inf,XH_Xh

XH_In = "'|;|*|and|union|declare|exec|insert|select|update|delete%20from|drop%20table|create%20table"

XH_Inf = split(XH_In,"|")

'--------POST部份------------------
If Request.Form<>"" Then
For Each XH_Post In Request.Form

For XH_Xh=0 To Ubound(XH_Inf)
If Instr(LCase(Request.Form(XH_Post)),XH_Inf(XH_Xh))<>0 Then

slog("<br><br>操作ip:"&Request.ServerVariables("REMOTE_ADDR")&"<br>操作时间:"&Now&"<br>操作页面:"&Request.ServerVariables("URL")&"<br>提交方式:POST<br>提交参数:"&XH_Post&"<br>提交数据:"&Request.Form(XH_Post))
Response.Write "非法操作"
Response.End
End If
Next
Next
End If
'----------------------------------

'--------GET部份-------------------
If Request.QueryString<>"" Then
For Each XH_Get In Request.QueryString

For XH_Xh=0 To Ubound(XH_Inf)
If Instr(LCase(Request.QueryString(XH_Get)),XH_Inf(XH_Xh))<>0 Then

slog("<br><br>操作ip:"&Request.ServerVariables("REMOTE_ADDR")&"<br>操作时间:"&Now&"<br>操作页面:"&Request.ServerVariables("URL")&"<br>提交方式:GET<br>提交参数:"&XH_Get&"<br>提交数据:"&Request.QueryString(XH_Get))
Response.Write "非法操作"
Response.End
End If
Next
Next
End If
'----------------------------------

'--------COOKIE部份-------------------
If Request.Cookies<>"" Then
For Each XH_Cookie In Request.Cookies

For XH_Xh=0 To Ubound(XH_Inf)
If Instr(LCase(Request.Cookies(XH_Cookie)),XH_Inf(XH_Xh))<>0 Then

slog("<br><br>操作ip:"&Request.ServerVariables("REMOTE_ADDR")&"<br>操作时间:"&Now&"<br>操作页面:"&Request.ServerVariables("URL")&"<br>提交方式:Cookie<br>提交参数:"&XH_Cookie&"<br>提交数据:"&Request.Cookies(XH_Cookie))
Response.Write "非法操作"
Response.End
End If
Next
Next
End If

sub slog(logs)
        Dim toppath,fs,Ts,Errorlog
        toppath = Server.Mappath("/log.htm")
                                Set fs = CreateObject("scripting.filesystemobject")
                                If Not Fs.FILEEXISTS(toppath) Then
                                    Set Ts = fs.createtextfile(toppath, True)
                                    Ts.close
                                end if
                                Set Ts= Fs.OpenTextFile(toppath,1)
                                    Do While Not Ts.AtEndOfStream
                                             Errorlog = Errorlog  & Ts.ReadLine  & chr(13) & chr(10)
                                    loop
                                    Ts.close
                                    Errorlog =Errorlog & logs
                                    Set Ts= Fs.OpenTextFile(toppath,2)
                                    Ts.writeline (Errorlog)
                                    Ts.Close
end sub

%>

转载于:https://www.cnblogs.com/Safe3/archive/2008/12/19/1358686.html

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
止 SQL 注入攻击是应用程序开发中的一个重要问题。ASP 是一种流行的服务器端脚本语言,用于动态生成网页。在编写 ASP 代码时,我们需要采取一系列措施来止 SQL 注入攻击。 首先,我们需要对输入数据进行验证和过滤。在接收用户输入之前,可以使用内置的 ASP 函数如`Trim()`,`Replace()`等来去除输入数据中的空格和特殊字符。还可以使用正则表达式来验证输入数据的格式,确保其符合预期。 其次,我们需要使用参数化查询来构建 SQL 语句。参数化查询会将用户输入作为参数传递给数据库,而不是将其直接拼接到 SQL 语句中。这样做可以止攻击者通过注入恶意 SQL 代码来破坏数据库。 除了参数化查询,还可以使用存储过程或预编译语句来执行数据库操作。这样可以将 SQL 查询提前编译好并存储在数据库中,避免每次执行查询时都重新解析 SQL 语句,减少注入攻击的可能性。 此外,我们还可以限制数据库用户的权限,并定期更新数据库管理员的密码。只有授权用户才能执行特定的 SQL 查询操作,这可以降低 SQL 注入攻击的风险。 最后,我们需要对错误信息进行处理,避免将详细的错误信息暴露给用户。攻击者可以利用错误信息来获取有关数据库结构和配置的敏感信息,因此我们应该在生产环境中禁用错误信息的显示,只记录错误日志以便以后的审计和修复。 总之,为了止 SQL 注入攻击,我们需要综合使用验证和过滤输入数据、参数化查询、存储过程或预编译语句、限制用户权限以及处理错误信息等多种技术手段。这些措施的综合使用可以提高应用程序的安全性,并保护数据库免受 SQL 注入攻击的威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值