防范方法
SQL注入漏洞可谓是“千里之堤,溃于蚁穴”,这种漏洞在网上极为普遍,通常是由于程序员对注入不了解,或者程序过滤不严格,或者某个参数忘记检查导致。在这里,我给大家一个函数,代替ASP中的Request函数,可以对一切的SQL注入Say NO,函数如下:
Function SafeRequest(ParaName,ParaType)
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)
Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function
---------------------------------------------------------
防注入
bool CheckParams(params object[] args)
{ string[] Lawlesses={"=","'"};
if(Lawlesses==null||Lawlesses.Length <=0)return true; //构造正则表达式,
例:Lawlesses是=号和'号,则正则表达式为 .*[=}'].* (正则表达式相关内容请见MSDN) 另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接写正则表达式亦可;
string str_Regex=".*[";
for(int i=0;i < Lawlesses.Length-1;i++)
str_Regex+=Lawlesses[i]+"|";
str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";
// foreach(object arg in args)
{ if(arg is string)//如果是字符串,直接检查
{ if(Regex.Matches(arg.ToString(),str_Regex).Count>0)
return false; }
else if(arg is ICollection)//如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查 { foreach(object obj in (ICollection)arg)
{ if(obj is string)
{ if(Regex.Matches(obj.ToString(),str_Regex).Count>0)
return false;
}
}
}
}
return true;}
-------------------------------------------------
最好的方案
下面是asp的写法,其他语言的可以参考,最后吧网站目录改成只读
如果已近被注入有来不及处理
可以在网站头加如
iframe{n1ifm:expression(this.src='about:blank',this.outerHTML='');}/*这行代码是解决挂IFRAME木马的哦*/
script{nojs1:expression((this.src.toLowerCase().indexOf('http')==0)?'':'');}
public Function SafeRequest(ParaName)
Dim ParaValue
ParaValue=request(ParaName)
'如果传入的是空那么传入的是什么类型返回什么类型
if ParaValue = "" or isnull(ParaValue) then
SafeRequest = ParaValue
exit function
end if
'如果传入的是数字
if IsNumeric(ParaValue) then
SafeRequest = ParaValue
exit function
end if
ParaValue = delhtml(ParaValue," <script.+>","")'防止注入script
ParaValue = replace(ParaValue," </script>","")
ParaValue = delhtml(ParaValue," <iframe.+>","")'防止注入iframe
ParaValue = replace(ParaValue," </iframe>","")
'ParaValue = delhtml(ParaValue," <script.+script>","")'防止注入script
SafeRequest=ParaValue
End function
'********************************************************
'正则表达方式替换掉不需要的字符号,返回替换后的字符串
'strhtml:需要处理的字符串
'startreplace:替换的正则表达式
'endreplace:要替换成的表达式
'********************************************************
private function delhtml(strhtml,startreplace,endreplace)
dim objregexp, stroutput
set objregexp = new regexp
objregexp.ignorecase = true
objregexp.global = true
objregexp.pattern = startreplace
stroutput = objregexp.replace(strhtml, endreplace)
delhtml = stroutput
set objregexp = nothing
end function
SQL注入漏洞可谓是“千里之堤,溃于蚁穴”,这种漏洞在网上极为普遍,通常是由于程序员对注入不了解,或者程序过滤不严格,或者某个参数忘记检查导致。在这里,我给大家一个函数,代替ASP中的Request函数,可以对一切的SQL注入Say NO,函数如下:
Function SafeRequest(ParaName,ParaType)
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)
Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function
---------------------------------------------------------
防注入
bool CheckParams(params object[] args)
{ string[] Lawlesses={"=","'"};
if(Lawlesses==null||Lawlesses.Length <=0)return true; //构造正则表达式,
例:Lawlesses是=号和'号,则正则表达式为 .*[=}'].* (正则表达式相关内容请见MSDN) 另外,由于我是想做通用而且容易修改的函数,所以多了一步由字符数组到正则表达式,实际使用中,直接写正则表达式亦可;
string str_Regex=".*[";
for(int i=0;i < Lawlesses.Length-1;i++)
str_Regex+=Lawlesses[i]+"|";
str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";
// foreach(object arg in args)
{ if(arg is string)//如果是字符串,直接检查
{ if(Regex.Matches(arg.ToString(),str_Regex).Count>0)
return false; }
else if(arg is ICollection)//如果是一个集合,则检查集合内元素是否字符串,是字符串,就进行检查 { foreach(object obj in (ICollection)arg)
{ if(obj is string)
{ if(Regex.Matches(obj.ToString(),str_Regex).Count>0)
return false;
}
}
}
}
return true;}
-------------------------------------------------
最好的方案
下面是asp的写法,其他语言的可以参考,最后吧网站目录改成只读
如果已近被注入有来不及处理
可以在网站头加如
iframe{n1ifm:expression(this.src='about:blank',this.outerHTML='');}/*这行代码是解决挂IFRAME木马的哦*/
script{nojs1:expression((this.src.toLowerCase().indexOf('http')==0)?'':'');}
public Function SafeRequest(ParaName)
Dim ParaValue
ParaValue=request(ParaName)
'如果传入的是空那么传入的是什么类型返回什么类型
if ParaValue = "" or isnull(ParaValue) then
SafeRequest = ParaValue
exit function
end if
'如果传入的是数字
if IsNumeric(ParaValue) then
SafeRequest = ParaValue
exit function
end if
ParaValue = delhtml(ParaValue," <script.+>","")'防止注入script
ParaValue = replace(ParaValue," </script>","")
ParaValue = delhtml(ParaValue," <iframe.+>","")'防止注入iframe
ParaValue = replace(ParaValue," </iframe>","")
'ParaValue = delhtml(ParaValue," <script.+script>","")'防止注入script
SafeRequest=ParaValue
End function
'********************************************************
'正则表达方式替换掉不需要的字符号,返回替换后的字符串
'strhtml:需要处理的字符串
'startreplace:替换的正则表达式
'endreplace:要替换成的表达式
'********************************************************
private function delhtml(strhtml,startreplace,endreplace)
dim objregexp, stroutput
set objregexp = new regexp
objregexp.ignorecase = true
objregexp.global = true
objregexp.pattern = startreplace
stroutput = objregexp.replace(strhtml, endreplace)
delhtml = stroutput
set objregexp = nothing
end function