28,409
社区成员
发帖
与我相关
我的任务
分享目前最为全面的防注入方法及代码是什么?
ASP注入问题,很老的问题了,想找一个目前最为全面的防注入方法及代码。
问题解决即结贴,分数给1-2人。
想找最佳的方法,欢迎大家讨论。
如果你对此问题不是很了解,或者说自己没有实际使用过的话,请不要随便到baidu复制一段代码贴在下面。
谢谢!
问题解决即结贴,分数给1-2人。
想找最佳的方法,欢迎大家讨论。
如果你对此问题不是很了解,或者说自己没有实际使用过的话,请不要随便到baidu复制一段代码贴在下面。
谢谢!
...全文
请发表友善的回复…
发表回复
hbsxnet 2008-03-31
- 打赏
- 举报
谢谢大家的解答!问题已解决,马上结贴。
muxrwc 2008-03-31
- 打赏
- 举报
我一般接管...
Request的Form和QueryString方法
考虑到若是'" & & "'
内做不到任何操作..
所以只需要把引号屏蔽掉即可...
然后就是数值
数值的话
只需要验证它是不是数值即可...
一般用IsNumeric即可.不过顺手直接用正则全做了...
Request的Form和QueryString方法
考虑到若是'" & & "'
内做不到任何操作..
所以只需要把引号屏蔽掉即可...
然后就是数值
数值的话
只需要验证它是不是数值即可...
一般用IsNumeric即可.不过顺手直接用正则全做了...
Function YH(t_v)
If IsNull(t_v) Then t_v = ""
YH = Replace(Replace(t_v, """", """), "'", "'")
End Function
Function UN_YH(t_v)
If IsNull(t_v) Then t_v = ""
UN_YH = Replace(Replace(t_v, """, """"), "'", "'")
End Function
Function BUG(a, b)
'SQL BUG
Dim r
Set r = new RegExp
r.Global = True
Select Case b
Case 0 : BUG = YH(a)
Case 1 : r.Pattern = "(?:[^\d\.]|\.(?=[^\.]*\.))" : BUG = r.Replace(a, "")
Case 2
r.Pattern = "^\d+(?:\s*,\s*\d+)*$"
If r.Test(a) Then
BUG = a
Else
BUG = ""
End If
Case 3 : r.Pattern = "\D" : BUG = r.Replace(a, "")
End Select
Close r
End Function
Function RE(a, b, c)
Dim t_val
If b = 0 Then
t_val = Request.Form(a)
Else
t_val = Request.QueryString(a)
End If
RE = BUG(t_val, c)
End Function
gingerkang 2008-03-31
- 打赏
- 举报
通用的往往是不适用的
编写程序的时候多加注意,记住所有传递的参数都是不可信任的,校验处理之后再引用就不会有问题的
注入的特点就是构造sql语句,防范这个就好了,常见的如数字就做判断一下,字符就过滤',其他具体情况具体处理
编写程序的时候多加注意,记住所有传递的参数都是不可信任的,校验处理之后再引用就不会有问题的
注入的特点就是构造sql语句,防范这个就好了,常见的如数字就做判断一下,字符就过滤',其他具体情况具体处理
myvicy 2008-03-31
- 打赏
- 举报
搜索一下"SQL通用防注入程序 v3.0 正式版"有下载的,这个算是做的比较全面的了。
feyyee 2008-03-31
- 打赏
- 举报
dim qs,errc,iii
qs=request.servervariables("query_string")
dim deStr(18)
deStr(0)="net user"
deStr(1)="xp_cmdshell"
deStr(2)="/add"
deStr(3)="exec%20master.dbo.xp_cmdshell"
deStr(4)="net localgroup administrators"
deStr(5)="select"
deStr(6)="count"
deStr(7)="asc"
deStr(8)="char"
deStr(9)="mid"
deStr(10)="'"
deStr(11)=":"
deStr(12)=""""
deStr(13)="insert"
deStr(14)="delete"
deStr(15)="drop"
deStr(16)="truncate"
deStr(17)="from"
deStr(18)="%"
errc=false
for iii= 0 to ubound(deStr)
if instr(qs,deStr(iii))<>0 then
errc=true
end if
next
if errc then
Response.Write("对不起,非法URL地址请求!")
response.end
end if
放在连接文件的上面
qs=request.servervariables("query_string")
dim deStr(18)
deStr(0)="net user"
deStr(1)="xp_cmdshell"
deStr(2)="/add"
deStr(3)="exec%20master.dbo.xp_cmdshell"
deStr(4)="net localgroup administrators"
deStr(5)="select"
deStr(6)="count"
deStr(7)="asc"
deStr(8)="char"
deStr(9)="mid"
deStr(10)="'"
deStr(11)=":"
deStr(12)=""""
deStr(13)="insert"
deStr(14)="delete"
deStr(15)="drop"
deStr(16)="truncate"
deStr(17)="from"
deStr(18)="%"
errc=false
for iii= 0 to ubound(deStr)
if instr(qs,deStr(iii))<>0 then
errc=true
end if
next
if errc then
Response.Write("对不起,非法URL地址请求!")
response.end
end if
放在连接文件的上面
Atai-Lu 2008-03-31
- 打赏
- 举报
没有什么好的办法,只能在你写代码的时候多多注意
还有服务器的设置等等
还有服务器的设置等等
