- 关 键 词:
- javascript
- update
- sql注入
- word
- asp
访问 http://www.qqread.com/sqlserver/2007/03/a305644.html
更多内容请看DoS 拒绝服务攻击专题、脚本攻击和防范、DDoS攻击防御与分析专题,或进入讨论组讨论。
近段时间由于修改一个ASP程序(有SQL注入漏洞),在网上找了很多相关的一些防范办法,都不近人意,所以我将现在网上的一些方法综合改良了一下,写出这个ASP函数,供大家参考。
| 以下是引用片段: Function SafeRequest(ParaName) Dim ParaValue ParaValue=Request(ParaName) if IsNumeric(ParaValue) = True then SafeRequest=ParaValue exit Function elseIf Instr(LCase(ParaValue),"select ") > 0 or Instr(LCase(ParaValue),"insert ") > 0 or Instr(LCase(ParaValue),"delete from") > 0 or Instr(LCase(ParaValue),"count(") > 0 or Instr(LCase(ParaValue),"drop table") > 0 or Instr(LCase(ParaValue),"update ") > 0 or Instr(LCase(ParaValue),"truncate ") > 0 or Instr(LCase(ParaValue),"asc(") > 0 or Instr(LCase(ParaValue),"mid(") > 0 or Instr(LCase(ParaValue),"char(") > 0 or Instr(LCase(ParaValue),"xp_cmdshell") > 0 or Instr(LCase(ParaValue),"exec master") > 0 or Instr(LCase(ParaValue),"net localgroup administrators") > 0 or Instr(LCase(ParaValue)," and ") > 0 or Instr(LCase(ParaValue),"net user") > 0 or Instr(LCase(ParaValue)," or ") > 0 then Response.Write "<script language='javascript'>" Response.Write "alert('非法的请求!');" '发现SQL注入攻击提示信息 Response.Write "location.href='http://dev.yesky.com/';" '发现SQL注入攻击转跳网址 Response.Write "<script>" Response.end else SafeRequest=ParaValue End If End function |
使用SafeRequest函数替换你的Request
更多内容请看DoS 拒绝服务攻击专题、脚本攻击和防范、DDoS攻击防御与分析专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- DoS 拒绝服务攻击专题 (1226篇文章)
- 脚本攻击和防范 (2370篇文章)
- DDoS攻击防御与分析 (1493篇文章)
- ARP攻击防范与解决方案 (1714篇文章)
- Solaris基础知识入门 (4653篇文章)
- 数据库SQL注入攻击 (126篇文章)
- 讲解SQL Server数据库触发器的安全隐患 (0次浏览)
- SQL Server 2000和JDBC的融合实例 (0次浏览)
- 用SQL Server 2005实现WebService (0次浏览)
- 用NetBeans5.0连接SQL Server2005数据库 (0次浏览)
- 使用NetBeans5.0连接SQL Server 2005数据库 (0次浏览)
- 如何使用SQL Server 2000中的XML功能一 (0次浏览)
- 访谈:SQL Server Everywhere仅仅是另一种数据 (0次浏览)
- 地中海船运公司通过SQL Server2005处理5TB的数 (0次浏览)
- 从SQL Server 4.2到SQL Server 2005 (0次浏览)
