Рекомендуется: используйте Red, чтобы отобразить ключевые слова записи, полученные при запросе данных ASP % response.write Заменить (RS (поле X), SearchName, Font Color =#ff0000 SearchName/Font) % Описание: RS - объект SET Record, а SearchName - это ключевое слово SEARC
Общие http -запросы SQL -инъекции - это не что иное, как получить и публиковать, поэтому, пока мы фильтруют нелегальные символы в информации о параметрах всех сообщений или получения запросов в файле, мы можем предотвратить атаки SQL -инъекции.Запрос GET, переданный ASP.DLL от IIS, находится в форме строки. После передачи его в запрос. В следующем перечислены коды для перехвата Get и Post Intercept: '======= Get Interctept =======================
Dim SQL_INJDATA
Sql_injdata = '| и | exec | insert | select | delete | Обновление | count |*|%| chr | Mid | Master | Truncate | char | Dercare
Sql_inj = split (sql_injdata, |)
Если запрос.querystring <> then
Для каждого SQL_GET в reffer.queryString
Для sql_data = 0 до ubound (sql_inj)
Если instr (request.querystring (sql_get), sql_inj (sql_data))> 0 then
Response.write <script language = 'javascript'> alert ('htmer.com System Adpts ↓ nnplease Не включайте незаконные символы в параметры и пытайтесь внедрить! Nnhttp: //www.htmer.com');
Response.end
конец, если
следующий
следующий
конец, если '====== Post перехват =======
Если запрос.form <> then
Для каждого SQL_POST в reffer.form
Для sql_data = 0 до ubound (sql_inj)
Если instr (request.form (sql_post), sql_inj (sql_data))> 0 затем
Response.write <script language = 'javascript'> alert ('htmer.com System Adpts ↓ nnplease Не включайте незаконные символы в параметры и пытайтесь внедрить! Nnhttp: //www.htmer.com');
Response.end
конец, если
следующий
следующий
конец, если
ОК, мы внедрили информационный перехват запросов GET и публикации. Вам нужно только ссылаться на эту страницу перед открытием файла базы данных, такого как conn.asp.
Поделиться: функции, которые фильтруют нецивилизованные символы в программе ASP % FunctionCutbadchar (str) badstr = no | text | ming | символ | столбец | Формат 'заполнить нецивилизованные слова здесь, используйте | отдельный Badword = split (badstr, |) fori = 0toubound (badword) ifstr (str, badword (i)) 0then str = заменить (str, badword (i), ***) endif endif = str end