Напишите общую программу противодействия ASP, чтобы выбрать блог из ph4studio
Напишите общую программу противодействия ASP для ключевых слов
Источник
Инъекция SQL была сыграна с этими так называемыми хакерами на уровне новичков. Я обнаружил, что большинство хакерских вторжений в настоящее время основаны на инъекции SQL.
Увы, кто сделал это легко начать? Хорошо, я больше не буду говорить по глупости, теперь я начинаю говорить, напишу ли я общую программу противодействия SQL
Общие HTTP -запросы - это не что иное, как получить и публиковать, поэтому, пока мы фильтруют все сообщения или получаем информацию о параметрах запроса в файле
Достаточно нелегальных символов, поэтому мы можем использовать информационный фильтр HTTP -запроса, чтобы определить, подлежит ли он атаке SQL -инъекции.
IIS перешел в ASP.DLL находится в форме строки, когда передача в запрос.
ASP Parser проанализирует информацию о запросе. КОРИСДИНГ, а затем разделяет данные в каждом массиве в соответствии с "&"
Так что перехватите следующее
Во -первых, мы определяем, что запрос не может содержать следующие символы
'| и | EXEC | Вставка | Выберите | Удалить | Обновление | Count |*|%| Chr | Mid | Master | Truncate | Char | Dercare
Каждый персонаж разделен «|», а затем мы судим запрос.
Конкретный код выглядит следующим образом
dimsql_injdata
Sql_injdata = "'| и | exec | insert | select | delete | Обновление | Count |*|%| chr | Mid | Master | Truncate | char | Dercare"
Sql_inj = split (sql_injdata, "|")
Ifrequest.querystring <> "" Тогда
Foreachsql_getinrequest.querystring
Forsql_data = 0toubound (sql_inj)
ifinstr (request.querystring (sql_get), sql_inj (sql_data))> 0then
Response.write "<scriptlanguage = ****> alert ('Tianxia Movie Alliance SQL Universal противодействие инъекционной системе ↓ nnplease Не включайте незаконные символы в параметры и пытайтесь внедрить!'); История. (-1) </script>»
Response.end
эндиф
следующий
Следующий
Эндиф
Таким образом, мы реализуем перехват внедрения запроса на GET, но мы также должны отфильтровать запрос POST, поэтому мы должны продолжать рассматривать запрос. Форма, которая также существует в форме массива, нам нужно только перейти в цикл, чтобы снова вынести суждения. Код выглядит следующим образом
Ifrequest.form <> "" Тогда
Foreachsql_postinrequest.form
Forsql_data = 0toubound (sql_inj)
ifinstr (request.form (sql_post), sql_inj (sql_data))> 0then
Response.write "<scriptLanguage = ****> alert ('Tianxia Movie Alliance SQL Universal противодействие инъекционной системе ↓ Nnplease не включает незаконные символы в параметры и пытайтесь внедрить! Nnhttp: //www.521movie.com');
Response.end
эндиф
следующий
следующий
эндиф
Хорошо, работа выполнена, мы внедрили информационный перехват запросов GET и публикации. Вам нужно только ссылаться на эту страницу перед открытием файла базы данных, такого как conn.asp. Продолжайте развивать свою программу с уверенностью, не нужно учитывать, будет ли она все еще атаковать SQL -инъекцию. Не так ли?