Empfohlen: Verwenden Sie rot, um die Schlüsselwörter der Aufzeichnung anzuzeigen, die beim Abfragen von Daten von ASP erhalten wurden % Antwort.Write Ersatz (RS (Feld X), SearchName, Font Color =#ff0000 SearchName/Schriftart) % Beschreibung: RS ist das Rekord -Set -Objekt und SearchName ist das von htmer [http://www.htmer.htmer.com/] nachgedruckte Suchschlüsselwort.
Die allgemeine HTTP -Anfragen von SQL Injection sind nichts anderes als zu erhalten und zu posten. Solange wir illegale Zeichen in den Parameterinformationen aller Posts filtern oder Anfragen in der Datei erhalten, können wir SQL -Injektionsangriffe verhindern.Die von IIS an ASP.Dll übergebene GET -Anfrage befindet sich in Form einer Zeichenfolge. Nachdem der ASP -Parser an die Anfrage übergeben hat. Im Folgenden listen die Codes für GET Intercept und Post Intercept auf: '======= GET Intercept ========
Dim Sql_injdata
Sql_injdata = '| und | exec | einfügen | select | löschen | update | count |*|%| mid | Master | Master | char | deklariere
Sql_inj = split (sql_injdata, |)
Wenn Request.queryString <> dann
Für jedes SQL_get in Request.queryString
Für SQL_DATA = 0 bis Ubound (SQL_inj)
if instr (request.queryString (SQL_get), SQL_inj (SQL_DATA))> 0 dann
Response.write <script langoy = 'javaScript'> alert ('htmer.com-System fordert ↓ nnPlease keine illegalen Zeichen in die Parameter ein und versuchen zu injizieren! Nnhttp: //www.htmer.com'); Geschichte.back (-1) </script>
Antwort.end
Ende wenn
nächste
nächste
Ende if '====== Post -Interception =========
Wenn request.form <> dann
Für jeden SQL_POST in request.form.form
Für SQL_DATA = 0 bis Ubound (SQL_inj)
if instr (request.form (SQL_POST), SQL_INJ (SQL_DATA))> 0 dann
Response.write <script langoy = 'javaScript'> alert ('htmer.com-System fordert ↓ nnPlease keine illegalen Zeichen in die Parameter ein und versuchen zu injizieren! Nnhttp: //www.htmer.com'); Geschichte.back (-1) </script>
Antwort.end
Ende wenn
nächste
nächste
Ende wenn
OK, wir haben Informationsabfangen von GET- und Postanfragen implementiert. Sie müssen diese Seite nur verweisen, bevor Sie die Datenbankdatei wie Conn.asp öffnen.
Teilen: Funktionen, die unzivilisierte Zeichen im ASP -Programm filtern % FunctionCutbadChar (str) badstr = no | text | ming | Zeichen | Spalte | Format 'Füllen Sie in unzivilisierten Wörtern hier, verwenden Sie | separates badword = split (badstr, |) fori = 0Toubund (badword) ifstr (str, badword (i)) 0The st = ersetzt (badword (badword).