Direkomendasikan: Gunakan merah untuk menampilkan kata kunci perekaman yang diperoleh saat menanyakan data ASP % response.write ganti (RS (bidang X), SearchName, Font Color =#FF0000 SearchName/Font) % Deskripsi: RS adalah objek set rekaman, dan pencarian adalah kata kunci pencarian yang dicetak ulang dari htmer [http://www.htmer.com/
Permintaan SQL Injection General HTTP tidak lebih dari mendapatkan dan memposting, jadi selama kami memfilter karakter ilegal dalam informasi parameter semua posting atau mendapatkan permintaan dalam file, kami dapat mencegah serangan injeksi SQL.Permintaan GET yang diteruskan ke ASP.dll oleh IIS adalah dalam bentuk string. Setelah meneruskannya ke data. Berikut ini mencantumkan kode untuk mendapatkan intersep dan postsept: '======= Get Intercept ========
redup sql_injdata
Sql_injData = '| dan | exec | masukkan | pilih | hapus | pembaruan | hitung |*|%| chr | mid | master | truncate | char | declare
Sql_inj = split (sql_injdata, |)
Jika request.querystring <> lalu
Untuk setiap sql_get di request.querystring
Untuk sql_data = 0 ke ubound (sql_inj)
if instr (request.queryString (sql_get), sql_inj (sql_data))> 0 lalu
Response.write <script language = 'javascript'> alert ('htmer.com sistem prompts ↓ nnplease tidak termasuk karakter ilegal dalam parameter dan mencoba untuk menyuntikkan! Nnhttp: //www.htmer.com'); history.back (-1) </skrip>
Respons.end
akhiri jika
Berikutnya
Berikutnya
Akhiri jika '====== Posting intersepsi ======
Jika request.form <> lalu
Untuk setiap sql_post di request.form
Untuk sql_data = 0 ke ubound (sql_inj)
if instr (request.form (sql_post), sql_inj (sql_data))> 0 lalu
Response.write <script language = 'javascript'> alert ('htmer.com sistem prompts ↓ nnplease tidak termasuk karakter ilegal dalam parameter dan mencoba untuk menyuntikkan! Nnhttp: //www.htmer.com'); history.back (-1) </skrip>
Respons.end
akhiri jika
Berikutnya
Berikutnya
akhiri jika
OK, kami telah menerapkan intersepsi informasi tentang permintaan GET dan POST. Anda hanya perlu merujuk halaman ini sebelum membuka file database seperti Conn.asp.
Bagikan: Fungsi yang memfilter karakter yang tidak beradab dalam program ASP % FunctionCutbadchar (str) badstr = no | text | ming | karakter | kolom | format 'isi kata -kata yang tidak beradab di sini, gunakan | badword terpisah = split (badstr, |) fori = 0toubound (badword) ifstr (str, badword (i)) 0Then str = ganti (str ,word (i), ***) endiF berikutnya (i)) 0THEN str = ganti (str ,word (i), ***) endif berikutnya (i)) 0THEN STR = ganti (str ,word (i), ***) endif berikutnya (i)) 0THEN STR = ganti (str ,word (i), ***) endiF berikutnya (i)) 0THEN STR = ganti (str ,word (i), ***) endif berikutnya (i)) 0THEN STR = STR, STR, BADWORD (I), ***) ENDIF NEXT (