通用asp防注入程序的方法

通用asp防注入程序的方法，大家了解吗？其实这个方法不仅适用于ASP，而且适用于任何使用ado对象模型与数据库交互的语言，以下是爱站技术频道小编给大家推荐的通用asp防注入程序的方法，希望能帮到大家。

编写通用的asp防注入程序?????选择自?ph4studio?的?Blog??
关键字???编写通用的asp防注入程序?
出处????

?sql注入被那些菜鸟级别的所谓黑客高手玩出了滋味，，发现现在大部分黑客入侵都是基于sql注入实现的?
，哎，，谁让这个入门容易呢，好了，，不说废话了，，现在我开始说如果编写通用的sql防注入程序?
一般的http请求不外乎?get?和?post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中?
非法字符即可，所以我们实现http?请求信息过滤就可以判断是是否受到sql注入攻击。?
iis传递给asp.dll的get?请求是是以字符串的形式，，当?传递给Request.QueryString数据后，，?
asp解析器会分析Request.QueryString的信息，，然后根据"&"，分出各个数组内的数据?
所以get的拦截如下?
首先我们定义请求中不能包含如下字符?
'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare?
各个字符用"|"隔开，，然后我们判断的得到的Request.QueryString?
具体代码如下?
dim?sql_injdata?
SQL_injdata?=?"'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"?
SQL_inj?=?split(SQL_Injdata,"|")?

If?Request.QueryString<>""?Then?
For?Each?SQL_Get?In?Request.QueryString?
For?SQL_Data=0?To?Ubound(SQL_inj)?
if?instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0?Then?
Response.Write?"<Script?Language=****>alert('天下电影联盟SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入！');history.back(-1)</Script>"?
Response.end?
end?if?
next?
Next?
End?If?
这样我们就实现了get请求的注入的拦截，但是我们还要过滤post请求，所以我们还得继续考虑request.form,这个也是以数组形式存在的，，我们只需要再进一次循环判断即可。代码如下?
If?Request.Form<>""?Then?
For?Each?Sql_Post?In?Request.Form?
For?SQL_Data=0?To?Ubound(SQL_inj)?
if?instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0?Then?
Response.Write?"<Script?Language=****>alert('天下电影联盟SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入！nnHTTP://www.521movie.com?');history.back(-1)</Script>"?
Response.end?
end?if?
next?
next?
end?if??
上述是爱站技术频道小编为大家带来的通用asp防注入程序的方法，我们在打开数据库文件之前，只需要参考本文即可。

?

原文链接:https://js.aizhan.com/develop/asp/9870.html
如有疑问请与原作者联系

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有