1.現在3年前的漏洞還有很多站存在,login.asp後台用'or''='或'or'='or'者代替使用者名稱密碼獲得管理員.
解決方法:搜尋login.asp下的
username=request.form("name")
pass=request.form("pass")
修改為username=replace(request.form("name"), "'", "''")
pass=replace(request.form("pass"), "'", "''")
語法是遮蔽'和''這個來達到效果.
2.現在再介紹簡單有效的傻瓜防止asp-sql注入的方法
在需要注入的頁面頂部加入:
這個together.asp檔案放在同1個目錄
together.asp的內容如下:
<%
dim fy_url,fy_a,fy_x,fy_cs(),fy_cl,fy_ts,fy_zx
'---定義部份 頭------
fy_cl = 3 '處理方式:1=提示資訊,2=轉向頁面,3=先提示再轉向
fy_zx = "index.asp" '出錯時轉向的頁面
'---定義部份 尾------
防止SQL注入和XSS注入的方法總結
1 在openresty中新增naxsi加強防禦安裝方法 2 防止sql注入的思路和方法1.永遠不要信任使用者的輸入。對使用者的輸入進行校驗,可以通過正規表示式,或限制長度 對單引號和 雙 進行轉換等。2.永遠不要使用動態拼裝sql,可以使用引數化的sql或者直接使用儲存過程進行資料查詢訪問。3.永...
防止SQL注入的正途
1.什麼是sql注入 所謂sql注入,就是通過把sql命令插入到web表單遞交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。通過遞交引數構造巧妙的sql語句,從而成功獲取想要的資料。2.sql注入的種類 從具體而言,sql注入可分為五大類,分別是 數字型注入 字元型注入...
防止SQL注入的方法
防止sql注入的3個方法 方法一 引數化查詢。缺點 增大資料庫的壓力 string connectionstring 資料庫連線字串 string customerid string empty string companyname string empty string address strin...