Recomendado: Use Red para exibir as palavras -chave de gravação obtidas ao consultar dados de ASP % Response.write reply (rs (campo x), searchname, font color =#ff0000 searchName/font) % Descrição: rs é o objeto de conjunto de registros, e o nome da pesquisa é a palavra -chave de pesquisa reproduzida por htmer [http://www.htmer.com/]
As solicitações HTTP gerais de injeção de SQL nada mais são do que obter e postar, desde que filtemos caracteres ilegais nas informações de parâmetros de todas as solicitações de postagem ou recebemos no arquivo, podemos impedir os ataques de injeção de SQL.A solicitação GET passada para asp.dll pelo IIS está na forma de uma string. Depois de passá -lo para solicitar.QueryString Data, o ASP analisador analisará as informações da solicitação.QueryString e dividirá os dados em cada matriz de acordo com &. Os seguintes lista os códigos para interceptar e pós -interceptar: '======= Get Intercept ========
dim sql_injdata
Sql_injdata = '| e | Exec | inserir | selecione | delete | atualização | contagem |*|%| chr | mid | master | truncate | char | declarar
Sql_inj = split (sql_injdata, |)
Se request.QueryString <> então
Para cada sql_get em request.QueryString
Para sql_data = 0 para ubound (sql_inj)
Se Instr (request.QueryString (SQL_GET), SQL_INJ (SQL_DATA))> 0 Então
Response.Write <Script Language = 'JavaScript'> alert ('Sistema htmer.com Promotos de sistema ↓ NNNPONENE não incluem caracteres ilegais nos parâmetros e tentam injetar! Nnhttp: //www.htmer.com');
Resposta.END
final se
próximo
próximo
fim se '====== Post Interception =======
Se request.form <> então
Para cada SQL_POST no request.form
Para sql_data = 0 para ubound (sql_inj)
Se Instr (request.form (sql_post), sql_inj (sql_data))> 0 então
Response.Write <Script Language = 'JavaScript'> alert ('Sistema htmer.com Promotos de sistema ↓ NNNPONENE não incluem caracteres ilegais nos parâmetros e tentam injetar! Nnhttp: //www.htmer.com');
Resposta.END
final se
próximo
próximo
final se
OK, implementamos a interceptação de informações de solicitações de get e postagem. Você só precisa fazer referência a esta página antes de abrir o arquivo de banco de dados como Conn.asp.
Compartilhar: Funções que filtram caracteres não civilizados no programa ASP % Functioncutbadchar (str) badstr = no | text | ming | caractere | coluna | formato 'preenche as palavras não civilizadas aqui, use | badword separado = split (badstr, |) fori = 0Toubound (badword) ifstr (str (i)) 0then str = substituir (str) (i), endift (str, nextbord (i)) 0then str = string (str) (i), endif