預防sql注入漏洞函式.
僅僅代表我的觀點.不怕見笑.有問題請大家指教!我想如果你是牛人,那這個已經不是值得你看的內容,只是覺得對與很多剛入門的asp程式設計師來說還是有點實際意義,所以不怕被大家笑話,寫了貼在這裡!
----<%
function checkstr(str)
if isnull(str) then
checkstr = ""
exit function
end if
checkstr=replace(str," ","")
checkstr=replace(str,"'","'")
checkstr=replace(str,";","'")
checkstr=replace(str,"--","'")
checkstr=replace(str,"(","'")
checkstr=replace(str,"[","'")
checkstr=replace(str,"$","'")
end function
相關函式
left(string, length)
返回指定數目的從字串的左邊算起的字元
asc(string)
返回與字串的第乙個字母對應的 ansi 字元**。
mid(string, start[, length])
從字串中返回指定數目的字元。
***********************************
我自己的做法是把字串限定在8個字元內,呵!(千萬條資料啊,沒誰有這樣大的記錄吧?99,999,999呵!不夠用,才怪了!除非你的資料從來不更新刪出,那也沒辦法,問題是sql到了這樣的時會是怎麼樣的速度)
---<%
if len(request.querystring("ddd"))> 8 then
response.write(黑我啊,不要了。少來)
response.end '最好有這句
'''初步是判斷是否是數字*****==isnumeric 函式
if isnumeric(request.querystring("ddd")) then
execute("select * from [table]")
else
response.write(黑我啊,不要了。少來)
response.end '最好有這句
當然了,加上上面的函式,在你的sql過程裡,效果就非常完美了!
呵!!!在**點做個函式。
---<%
function checkstr(str)
if isnull(str) then
checkstr = ""
exit function
end if
checkstr=replace(str," ","")
checkstr=replace(str,"'","'")
checkstr=replace(str,";","'")
checkstr=replace(str,"--","'")
checkstr=replace(str,"(","'")
checkstr=replace(str,"[","'")
checkstr=replace(str,"$","'")
checkstr=replace(str,"asc'," ")
checkstr=replace(str,"mid"," ")
checkstr=replace(str,"delete"," ")
checkstr=replace(str,"drop"," ")
'''呵!!我這裡沒遮蔽select,count,哈!想起來我就笑,太**了,那其不是我什麼都不用了不是更更安全啊!!!呵!!~^)^~
end function
足夠了,這個函式載入到sql選取記錄集的地方。
如:rsql="select * from table where ***="&checkstr(request.querystring("xxyy"))&""
或者來就判斷字串
說的有點林亂,但是就是這些了,對於普通的「黑客」已經足夠他毫些時間了。但是對於老到的真正意義的黑客,這些都不是萬能的東西,人家連伺服器都黑,你能怎麼樣啊?嘿!!
另外對於sql注入漏洞,好象只是asp裡多些!其它的我還不是太清楚,所以還是需要提醒所有搞asp的朋友,請多看看,微軟的最新【windows 指令碼技術】這個東西。
這裡下,就可以了!
預防SQL注入漏洞函式
預防sql注入漏洞函式.僅僅代表我的觀點.不怕見笑.有問題請大家指教 我想如果你是牛人,那這個已經不是值得你看的內容,只是覺得對與很多剛入門的asp程式設計師來說還是有點實際意義,所以不怕被大家笑話,寫了貼在這裡 function checkstr str if isnull str then ch...
sql注入預防
sql注入即是指web應用程式對使用者輸入資料的合法性沒有判斷或過濾不嚴,攻擊者可以在web應用程式中事先定義好的查詢語句的結尾上新增額外的sql語句,在管理員不知情的情況下實現非法操作,以此來實現欺騙資料庫伺服器執行非授權的任意查詢,從而進一步得到相應的資料資訊。1.簡單又有效的方法 prepar...
sql注入預防
在我們登陸驗證時會發現sql注入的現象。1.sql注入發生原因 因為如果使用者在使用者名稱上輸入的是 or 1 1 時,我們得到的sql語句是select from shop user where username or 1 1 and password d41d8cd98f00b204e98009...