设为首页收藏本站

新微赢技术网

 找回密码
 注册
搜索
热搜: 回贴
查看: 127|回复: 5
打印 上一主题 下一主题

防注入问题

[复制链接]
跳转到指定楼层
1#
发表于 2010-1-8 07:48:33 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
以下这些化码:
<%
' 将此文件包含在公共文件里
' 如:conn.asp里
' <!--#include file="sqlin.asp"-->

'--------定义部份------------------
Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr,Kill_IP,WriteSql
'自定义需要过滤的字串,用 "|" 分隔
Fy_In = "'|;|and|(|)|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare"
Fy_Inf = split(Fy_In,"|")
'--------POST部份------------------
If Request.Form<>"" Then
For Each Fy_Post In Request.Form
For Fy_Xh=0 To Ubound(Fy_Inf)
If Instr(LCase(Request.Form(Fy_Post)),Fy_Inf(Fy_Xh))<>0 Then
Response.Write "<Script Language=JavaScript>alert('非法参数');</Script>"
Response.End
End If
Next
Next
End If
'----------------------------------

'--------GET部份-------------------
If Request.QueryString<>"" Then
For Each Fy_Get In Request.QueryString
For Fy_Xh=0 To Ubound(Fy_Inf)
If Instr(LCase(Request.QueryString(Fy_Get)),Fy_Inf(Fy_Xh))<>0 Then
Response.Write "<Script Language=JavaScript>alert('非法参数');</Script>"
Response.End
End If
Next
Next
End If
%>
post部分可以正常使用,,但是get部分不能正常用,,根本上是没反应的,不知道是那里出问题了,
谁能帮忙一下
5#
发表于 2010-2-24 04:05:03 | 只看该作者
哈哈,有意思~顶顶 ,继续顶顶。继续顶哦
回复 支持 反对

使用道具 举报

4#
发表于 2010-1-8 07:48:42 | 只看该作者
MSSQL数据库吗?

使用这个防注代码


  1. '防止注入开始
  2. dim qs,errc,iii
  3. qs=request.servervariables("query_string")
  4. dim deStr(18)
  5. deStr(0)="net user"
  6. deStr(1)="xp_cmdshell"
  7. deStr(2)="/add"
  8. deStr(3)="exec%20master.dbo.xp_cmdshell"
  9. deStr(4)="net localgroup administrators"
  10. deStr(5)="select"
  11. deStr(6)="count"
  12. deStr(7)="asc"
  13. deStr(8)="char"
  14. deStr(9)="mid"
  15. deStr(10)="'"
  16. deStr(11)=":"
  17. deStr(12)=""""
  18. deStr(13)="insert"
  19. deStr(14)="delete"
  20. deStr(15)="drop"
  21. deStr(16)="truncate"
  22. deStr(17)="from"
  23. deStr(18)="%"
  24. errc=false
  25. for iii= 0 to ubound(deStr)
  26. if instr(qs,deStr(iii))<>0 then
  27. errc=true
  28. end if
  29. next
  30. if errc then
  31. response.redirect "对不起,请不要输入非法参数!"
  32. response.end
  33. end if
  34. '防注入结束
复制代码
回复 支持 反对

使用道具 举报

3#
发表于 2010-1-8 07:48:39 | 只看该作者
又来了关于注入的问题,搜索一下,朋友回答此类帖很多
回复 支持 反对

使用道具 举报

2#
发表于 2010-1-8 07:48:36 | 只看该作者
晕,,没人会嘛
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

申请友链|小黑屋|最新主题|手机版|新微赢技术网 ( 苏ICP备08020429号 )  

GMT+8, 2024-11-18 14:56 , Processed in 0.077382 second(s), 9 queries , Gzip On, Memcache On.

Powered by xuexi

© 2001-2013 HaiAn.Com.Cn Inc. 寰耽

快速回复 返回顶部 返回列表