Recommandé: Utilisez le rouge pour afficher les mots clés d'enregistrement obtenus lors de l'interrogation des données d'ASP % Response.Write Remplace (RS (champ X), SearchName, Font Color = # FF0000 SearchName / Font)% Description: RS est l'objet d'enregistrement d'enregistrement, et SearchName est le mot-clé de recherche réimprimé à partir de httmer [http://www.htmer.com/]
Les demandes HTTP générales de l'injection SQL ne sont rien de plus que l'obtention et la publication, donc tant que nous filtrons les caractères illégaux dans les informations des paramètres de toutes les demandes de poste ou de réception dans le fichier, nous pouvons empêcher les attaques d'injection SQL.La demande de GET transmise à asp.dll par IIS est sous la forme d'une chaîne. Après l'avoir transmis aux données de demande. Le suivant répertorie les codes pour Get Intercept et Post Intercept: '======= Get Intercept =======
DIM SQL_INJDATA
SQL_INJDATA = '| et | EXERVE | INSERT | SELECT | DELETE | MISE À JOUR | COMPT | * |% | CHR | MID | MASTER | TRONCATE | CHAR | DÉCLARE
SQL_INJ = Split (SQL_INJDATA, |)
Si request.querystring <> alors
Pour chaque SQL_GET dans demande.Querystring
Pour sql_data = 0 à Ubound (sql_inj)
Si instir (request.querystring (sql_get), sql_inj (sql_data))> 0 alors
Response.Write <Script Language = 'JavaScript'> alert ('htmer.com Invites du système ↓ NNPLASEE N'incluez pas les caractères illégaux dans les paramètres et essayez d'injecter! Nnhttp: //www.htmer.com'); History.back (-1) </cript>
Réponse.
terminer si
suivant
suivant
fin si '====== Post Interception ======
Si demande.form <> alors
Pour chaque SQL_POST dans demande.form
Pour sql_data = 0 à Ubound (sql_inj)
Si instlin (request.form (sql_post), sql_inj (sql_data))> 0 alors
Response.Write <Script Language = 'JavaScript'> alert ('htmer.com Invites du système ↓ NNPLASEE N'incluez pas les caractères illégaux dans les paramètres et essayez d'injecter! Nnhttp: //www.htmer.com'); History.back (-1) </cript>
Réponse.
terminer si
suivant
suivant
terminer si
OK, nous avons mis en œuvre l'interception d'informations des demandes GET et POST. Il vous suffit de référencer cette page avant d'ouvrir le fichier de base de données tels que Conn.asp.
Partage: fonctions qui filtrent les caractères non civilisés dans le programme ASP % Functioncutbadchar (str) badstr = no | text | ming | caractère | colonne | format 'remplir les mots non civilisés ici, utiliser | badword séparé = divisé (badstr, |) fori = 0Toubound (badword) ifstr (str, badword (i)) 0Then Str = remplacer (Str, badword (i), ***) ENDIF NEXT CUTBADCHAR = STR ENDFUNCT.