SQLインジェクション攻撃を防ぐために使用される機能は、直接使用できますが、セキュリティ認識を高めるだけではありません。
コードコピーは次のとおりです。
'===================================================
'送信フォームでSQLをフィルターします
'===================================================
functionforsqlform()
dimfqys、errc、i、items
Dimnothis(18)
何もない(0)= Netuser
何もない(1)= xp_cmdshell
何もない(2)=/add
何もない(3)= exec%20master.dbo.xp_cmdshell
何もない(4)= NetLocalGroupAdMinistrators
何もない(5)= select
何もない(6)= count
何もない(7)= ASC
何もない(8)= char
何もない(9)= MID
何もない(10)= '
何もない(11)=:
何もない(12)=
何もない(13)=挿入
何もない(14)=削除
何もない(15)=ドロップ
何もありません(16)=切り捨てられます
何もない(17)= from
何もない(18)=%
'nothis(19)=@
errc = false
fori = 0toubound(これではありません)
foreachitemsinrequest.form
ifinstr(request.form(items)、notis(i))<> 0then
Response.write(<div>)
respons.write(記入した情報:&server.htmlencode(request.form(items))&<br>に違法文字が含まれています:&nothis(i))
respons.write(</div>)
Response.Write(申し訳ありませんが、埋め込まれた情報には違法なキャラクターが含まれています!
Response.End()
endif
次
次
エンド機能
'===================================================
'クエリでSQLをフィルター
'===================================================
functionforsqliniction()
dimfqys、errc、i
Dimnothis(19)
fqys = request.servervariables(query_string)
何もない(0)= Netuser
何もない(1)= xp_cmdshell
何もない(2)=/add
何もない(3)= exec%20master.dbo.xp_cmdshell
何もない(4)= NetLocalGroupAdMinistrators
何もない(5)= select
何もない(6)= count
何もない(7)= ASC
何もない(8)= char
何もない(9)= MID
何もない(10)= '
何もない(11)=:
何もない(12)=
何もない(13)=挿入
何もない(14)=削除
何もない(15)=ドロップ
何もありません(16)=切り捨てられます
何もない(17)= from
何もない(18)=%
何もない(19)=@
errc = false
fori = 0toubound(これではありません)
ifinstr(fqys、this(i))<> 0then
errc = true
endif
次
iferrcthen
Response.Writeクエリ情報には違法な文字が含まれています! <ahref =#onclick = history.back()> return </a>
Response.End
endif
エンド機能