預防SQL注入漏洞函式

2021-09-30 02:27:41 字數 2221 閱讀 8391

預防sql注入漏洞函式.

僅僅代表我的觀點.不怕見笑.有問題請大家指教!我想如果你是牛人,那這個已經不是值得你看的內容,只是覺得對與很多剛入門的asp程式設計師來說還是有點實際意義,所以不怕被大家笑話,寫了貼在這裡!

----<%

function checkstr(str)

if isnull(str) then

checkstr = ""

exit function

end if

checkstr=replace(str," ","")

checkstr=replace(str,"'","'")

checkstr=replace(str,";","'")

checkstr=replace(str,"--","'")

checkstr=replace(str,"(","'")

checkstr=replace(str,"[","'")

checkstr=replace(str,"$","'")

end function

相關函式

left(string, length)

返回指定數目的從字串的左邊算起的字元

asc(string)

返回與字串的第乙個字母對應的 ansi 字元**。

mid(string, start[, length])

從字串中返回指定數目的字元。

***********************************

我自己的做法是把字串限定在8個字元內,呵!(千萬條資料啊,沒誰有這樣大的記錄吧?99,999,999呵!不夠用,才怪了!除非你的資料從來不更新刪出,那也沒辦法,問題是sql到了這樣的時會是怎麼樣的速度)

---<%

if len(request.querystring("ddd"))> 8 then

response.write(黑我啊,不要了。少來)

response.end '最好有這句

'''初步是判斷是否是數字*****==isnumeric 函式

if isnumeric(request.querystring("ddd")) then

execute("select * from [table]")

else

response.write(黑我啊,不要了。少來)

response.end '最好有這句

當然了,加上上面的函式,在你的sql過程裡,效果就非常完美了!

呵!!!在**點做個函式。

---<%

function checkstr(str)

if isnull(str) then

checkstr = ""

exit function

end if

checkstr=replace(str," ","")

checkstr=replace(str,"'","'")

checkstr=replace(str,";","'")

checkstr=replace(str,"--","'")

checkstr=replace(str,"(","'")

checkstr=replace(str,"[","'")

checkstr=replace(str,"$","'")

checkstr=replace(str,"asc'," ")

checkstr=replace(str,"mid"," ")

checkstr=replace(str,"delete"," ")

checkstr=replace(str,"drop"," ")

'''呵!!我這裡沒遮蔽select,count,哈!想起來我就笑,太**了,那其不是我什麼都不用了不是更更安全啊!!!呵!!~^)^~

end function

足夠了,這個函式載入到sql選取記錄集的地方。

如:rsql="select * from table where ***="&checkstr(request.querystring("xxyy"))&""

或者來就判斷字串

說的有點林亂,但是就是這些了,對於普通的「黑客」已經足夠他毫些時間了。但是對於老到的真正意義的黑客,這些都不是萬能的東西,人家連伺服器都黑,你能怎麼樣啊?嘿!!

另外對於sql注入漏洞,好象只是asp裡多些!其它的我還不是太清楚,所以還是需要提醒所有搞asp的朋友,請多看看,微軟的最新【windows 指令碼技術】這個東西。

這裡下,就可以了!

預防SQL注入漏洞函式

預防sql注入漏洞函式.僅僅代表我的觀點.不怕見笑.有問題請大家指教 我想如果你是牛人,那這個已經不是值得你看的內容,只是覺得對與很多剛入門的asp程式設計師來說還是有點實際意義,所以不怕被大家笑話,寫了貼在這裡 function checkstr str if isnull str then ch...

sql注入預防

sql注入即是指web應用程式對使用者輸入資料的合法性沒有判斷或過濾不嚴,攻擊者可以在web應用程式中事先定義好的查詢語句的結尾上新增額外的sql語句,在管理員不知情的情況下實現非法操作,以此來實現欺騙資料庫伺服器執行非授權的任意查詢,從而進一步得到相應的資料資訊。1.簡單又有效的方法 prepar...

sql注入預防

在我們登陸驗證時會發現sql注入的現象。1.sql注入發生原因 因為如果使用者在使用者名稱上輸入的是 or 1 1 時,我們得到的sql語句是select from shop user where username or 1 1 and password d41d8cd98f00b204e98009...