Recomendado: use rojo para mostrar las palabras clave de grabación obtenidas al consultar datos de ASP % Respuesta.Write Reemplazar (RS (Field X), SearchName, Font Color =#FF0000 SearchName/Font) % Descripción: RS es el objeto de conjunto de registros, y SearchName es la palabra clave de búsqueda reimpresa desde htmer [http://www.htmer.com/]
Las solicitudes generales de HTTP de inyección SQL no son más que obtener y publicar, por lo que siempre que filtremos caracteres ilegales en la información de los parámetros de todas las solicitudes de publicación o obtenga en el archivo, podemos evitar ataques de inyección de SQL.La solicitud GET pasada a ASP.DLL por IIS tiene la forma de una cadena. Después de pasarlo a Solic. Los siguientes enumera los códigos para Get Intercept y Post Intercept: '======= Get Intercept =======
dim sql_injdata
Sql_injdata = '| y | exec | insertar | seleccionar | eliminar | actualización | conte |*|%| chr | mid | maestro | truncate | char | declarar
SQL_INJ = Split (SQL_INJDATA, |)
If request.querystring <> entonces
Para cada sql_get en request.queryString
Para sql_data = 0 a Ubound (SQL_INJ)
if instr (request.querystring (sql_get), sql_inj (sql_data))> 0 entonces
Response.Write <script language = 'javaScript'> alert ('htmer.com indica ↓ nnplease No incluya caracteres ilegales en los parámetros e intente inyectar!
Respuesta.
final si
próximo
próximo
FIN IF '====== Post Interception ======
If request.form <> entonces
Para cada sql_post en request.form
Para sql_data = 0 a Ubound (SQL_INJ)
if instr (request.form (sql_post), sql_inj (sql_data))> 0 entonces
Response.Write <script language = 'javaScript'> alert ('htmer.com indica ↓ nnplease No incluya caracteres ilegales en los parámetros e intente inyectar!
Respuesta.
final si
próximo
próximo
final si
Ok, hemos implementado la intercepción de información de las solicitudes de Get and Post. Solo necesita hacer referencia a esta página antes de abrir el archivo de la base de datos como Conn.asp.
Compartir: funciones que filtran caracteres no civilizados en el programa ASP % FunctionCutBadchar (str) badstr = no | text | ming | carácter | columna | formato 'complete las palabras no civilizadas aquí, use | Palabra mala separada = Split (BadStr, |) fori = 0ToUbound (Palabra mala) Ifstr (Str, Palabra Bad (i)) 0then Str = Reemplazar (Str, Bad Word (i), ***) que termina el siguiente corte = Str Endsctuncio