'為了系統的安全,直接在有資料庫連線的地方都加上sql注入的免疫
'自定義需要過濾的字串,用 "|" 分隔
fy_in = "'| ; | exec | insert | select | delete | update | count | % |chr(| char(| master | truncate | declare "
'----------------------------------
fy_inf = split(fy_in,"|")
if request.querystring()<>"" then
for each fy_get in request.querystring()
for fy_xh=0 to ubound(fy_inf)
if instr(lcase(request.querystring(fy_get)),trim(fy_inf(fy_xh)))<>0 then
'--------寫入資料庫----------頭-----
conn.execute("insert into job_errlog(sqlin_ip,sqlin_web,sqlin_fs,sqlin_cs,sqlin_sj) values('"&request.servervariables("remote_addr")&"','"&request.servervariables("url")&"','get','"&fy_get&"','"&replace(request.querystring(fy_get),"'","''")&"')")
'--------寫入資料庫----------尾-----
end if
next
next
end if
dim sql_injdata,sql_inj,sql_get,sql_data
sql_injdata = "'"
sql_inj = split(sql_injdata,"|")
'防止get方法注入
if request.querystring<>"" then
for each sql_get in request.querystring
for sql_data=0 to ubound(sql_inj)
if instr(request.querystring(sql_get),sql_inj(sql_data))>0 then
response.write ""
response.end
end if
next
next
end if
'防止post方法注入
if request.form<>"" then
for each sql_post in request.form
for sql_data=0 to ubound(sql_inj)
if instr(request.form(sql_post),sql_inj(sql_data))>0 then
response.write ""
response.end
end if
next
next
end if
%>
通用asp防注入程式
防注入把它加到conn裡這樣就ok了 dim sql injdata sql injdata and exec insert select delete update count chr mid master truncate char declare sql inj split sql injda...
ASP防SQL注入程式
sql注入被那些菜鳥級別的所謂黑客高手玩出了滋味,發現現在大部分黑客入侵都是基於sql注入實現的,哎,誰讓這個入門容易呢,好了,不說廢話了,現在我開始說如果編寫通用的sql防注入程式一般的http請求不外乎get 和 post,所以只要我們在檔案中過濾所有post或者get請求中的引數資訊中非法字元...
ASP防SQL注入程式
編寫通用的sql防注入程式一般的http請求不外乎get 和 post,所以只要我們在檔案中過濾所有post或者get請求中的引數資訊中非法字元即可,所以我們實現http 請求資訊過濾就可以判斷是是否受到sql注入攻擊。iis傳遞給asp.dll的get 請求是是以字串的形式,當 傳遞給reques...