防止GET和POST方式引起的SQL注入攻击ASP程序
来源:CSDN 时间:2007-08-06 12:57:00
内容摘要:编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。
IIS传递给asp.dll的get 请求是是以字符串的形式,当传递给Request.QueryString数据后,asp解析器会分析Request.QueryString的信息,,然后根据"&",分出各个数组内的数据所以get的拦截如下:
首先我们定义请求中不能包含如下字符:
|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
各个字符用"|"隔开,,然后我们判断的得到的Request.QueryString,具体代码如下 :
dim sql_injdata
SQL_injdata = "’|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=****>alert(’asp之家SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入!’);history.back(-1)</Script>"
Response.end
end if
next
Next
End If
这样我们就实现了get请求的注入的拦截,但是我们还要过滤post请求,所以我们还得继续考虑request.form,这个也是以数组形式存在的,我们只需要再进一次循环判断即可。代码如下:
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=****>alert(’asp之家SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入!nnHTTP: //www.aspxhome.com ’);history.back(-1)</Script>"
Response.end
end if
next
next
end if
我们已经实现了get和post请求的信息拦截,你只需要在conn.asp之类的打开数据库文件之前引用这个页面即可。放心的继续开发你的程序,不用再考虑是否还会受到SQL注入攻击。
标签:
![](/images/zang.png)
![](/images/jiucuo.png)
猜你喜欢
Firefox生死抉择:尖端,还是主流?
2009-12-31 18:43:00
秘笈:百度贴吧宣传不被封锁地址
2009-03-16 11:30:00
在Windows Server 2003中为Web站点配置DNS记录
2007-12-24 10:00:00
网络推广精英团队是如何建设的?
2009-11-10 10:13:00
从入侵者角度谈服务器安全基本配置
2009-06-04 13:53:00
![](https://img.aspxhome.com/file/UploadPic/20096/200969125937696.jpg)
草根站长 向你致敬!
2008-02-29 21:51:00
Google推出404页面工具
2008-09-02 17:29:00
![](https://img.aspxhome.com/file/UploadPic/20089/2/google-404page_66s.jpg)
YouTube直播U2演唱会获1000万网民热捧
2009-10-30 16:23:00
饭团:网络推广之精准推广 也许飞的更高
2009-04-18 19:52:00
被封网站应该如何解救
2009-02-01 11:15:00
PCWorld:互联网史上最具影响力的50个人
2007-11-13 07:37:00
禁止某些垃圾搜索的蜘蛛访问跟图片访问
2012-03-20 21:53:02
Z-Blog URL转发漏洞的修复方法
2008-12-01 12:54:00
购机走出概念模糊 谈虚拟主机的三种限制
2009-02-01 08:59:00
Win2003中怎样配置NAT服务器
2007-08-15 14:40:00
增加高质量外部链接 提升谷歌对网站收录
2009-01-20 13:11:00
YouTube即将盈利 七分之一流量能产生营收
2009-10-16 14:49:00
保护IIS Web服务器安全的十大步骤
2012-02-25 19:46:50
Web服务器安全指南
2007-08-17 14:13:00
搜索引擎如何判断文章是否原创?
2007-10-22 22:49:00