2.8w+
社区成员
目前最为全面的防注入方法及代码是什么?
ASP注入问题,很老的问题了,想找一个目前最为全面的防注入方法及代码。
问题解决即结贴,分数给1-2人。
想找最佳的方法,欢迎大家讨论。
如果你对此问题不是很了解,或者说自己没有实际使用过的话,请不要随便到baidu复制一段代码贴在下面。
谢谢!
问题解决即结贴,分数给1-2人。
想找最佳的方法,欢迎大家讨论。
如果你对此问题不是很了解,或者说自己没有实际使用过的话,请不要随便到baidu复制一段代码贴在下面。
谢谢!
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
hbsxnet 2008-03-31
谢谢大家的解答!问题已解决,马上结贴。
muxrwc 2008-03-31
我一般接管...
Request的Form和QueryString方法
考虑到若是'" & & "'
内做不到任何操作..
所以只需要把引号屏蔽掉即可...
然后就是数值
数值的话
只需要验证它是不是数值即可...
一般用IsNumeric即可.不过顺手直接用正则全做了...
Request的Form和QueryString方法
考虑到若是'" & & "'
内做不到任何操作..
所以只需要把引号屏蔽掉即可...
然后就是数值
数值的话
只需要验证它是不是数值即可...
一般用IsNumeric即可.不过顺手直接用正则全做了...
Function YH(t_v)
If IsNull(t_v) Then t_v = ""
YH = Replace(Replace(t_v, """", """), "'", "'")
End Function
Function UN_YH(t_v)
If IsNull(t_v) Then t_v = ""
UN_YH = Replace(Replace(t_v, """, """"), "'", "'")
End Function
Function BUG(a, b)
'SQL BUG
Dim r
Set r = new RegExp
r.Global = True
Select Case b
Case 0 : BUG = YH(a)
Case 1 : r.Pattern = "(?:[^\d\.]|\.(?=[^\.]*\.))" : BUG = r.Replace(a, "")
Case 2
r.Pattern = "^\d+(?:\s*,\s*\d+)*$"
If r.Test(a) Then
BUG = a
Else
BUG = ""
End If
Case 3 : r.Pattern = "\D" : BUG = r.Replace(a, "")
End Select
Close r
End Function
Function RE(a, b, c)
Dim t_val
If b = 0 Then
t_val = Request.Form(a)
Else
t_val = Request.QueryString(a)
End If
RE = BUG(t_val, c)
End Functiongingerkang 2008-03-31
通用的往往是不适用的
编写程序的时候多加注意,记住所有传递的参数都是不可信任的,校验处理之后再引用就不会有问题的
注入的特点就是构造sql语句,防范这个就好了,常见的如数字就做判断一下,字符就过滤',其他具体情况具体处理
编写程序的时候多加注意,记住所有传递的参数都是不可信任的,校验处理之后再引用就不会有问题的
注入的特点就是构造sql语句,防范这个就好了,常见的如数字就做判断一下,字符就过滤',其他具体情况具体处理
myvicy 2008-03-31
搜索一下"SQL通用防注入程序 v3.0 正式版"有下载的,这个算是做的比较全面的了。
feyyee 2008-03-31
dim qs,errc,iii
qs=request.servervariables("query_string")
dim deStr(18)
deStr(0)="net user"
deStr(1)="xp_cmdshell"
deStr(2)="/add"
deStr(3)="exec%20master.dbo.xp_cmdshell"
deStr(4)="net localgroup administrators"
deStr(5)="select"
deStr(6)="count"
deStr(7)="asc"
deStr(8)="char"
deStr(9)="mid"
deStr(10)="'"
deStr(11)=":"
deStr(12)=""""
deStr(13)="insert"
deStr(14)="delete"
deStr(15)="drop"
deStr(16)="truncate"
deStr(17)="from"
deStr(18)="%"
errc=false
for iii= 0 to ubound(deStr)
if instr(qs,deStr(iii))<>0 then
errc=true
end if
next
if errc then
Response.Write("对不起,非法URL地址请求!")
response.end
end if
放在连接文件的上面
qs=request.servervariables("query_string")
dim deStr(18)
deStr(0)="net user"
deStr(1)="xp_cmdshell"
deStr(2)="/add"
deStr(3)="exec%20master.dbo.xp_cmdshell"
deStr(4)="net localgroup administrators"
deStr(5)="select"
deStr(6)="count"
deStr(7)="asc"
deStr(8)="char"
deStr(9)="mid"
deStr(10)="'"
deStr(11)=":"
deStr(12)=""""
deStr(13)="insert"
deStr(14)="delete"
deStr(15)="drop"
deStr(16)="truncate"
deStr(17)="from"
deStr(18)="%"
errc=false
for iii= 0 to ubound(deStr)
if instr(qs,deStr(iii))<>0 then
errc=true
end if
next
if errc then
Response.Write("对不起,非法URL地址请求!")
response.end
end if
放在连接文件的上面
Atai-Lu 2008-03-31
没有什么好的办法,只能在你写代码的时候多多注意
还有服务器的设置等等
还有服务器的设置等等
如何用最简单的方式解释依赖注入?依赖注入是如何实现解耦的? 转自知乎 @唐思 只讲原理,不讲过程。大多数面向对象编程语言,在调用一个类的...依赖注入,全称是“依赖注入到容器”, 容器(IOC容器)是一个设计模式,它也是个对象,你把某个类(不管有多少依赖关系)放入这个容器
什么是依赖注入 只讲原理,不讲过程。 大多数面向对象编程语言,在调用一个类的时候...依赖注入,全称是“依赖注入到容器”, 容器(IOC容器)是一个设计模式,它也是个对象,你把某个类(不管有多少依赖关系)放入这个容器中,可以
10 常见网站安全攻击手段及防御方法 SQL注入方法是网络罪犯最常用的注入手法。 注入攻击方法直接针对网站和服务器的数据库。执行时,攻击者注入一段能够揭示隐藏数据和用户输入的代码,获得数据修改权限,全面俘获应用。 保护网站不受注入攻击危害,...
“脚本小子”和真正黑客的区别是什么? 目前,高校计算机信息安全专业很少将Python在安全领域的应用列入必修课程,市面上的安全书籍也大多以介绍安全工具的使用为主,而忽略了对最为重要的网络安全编程能力的培养,所以这也是我们撰写本书的初衷。...
什么是架构?怎么进行架构设计 ????...CSDN看到一篇介绍架构设计的博客,内容提纲挈领,内容丰富...在软件行业,对于什么是架构,都有很多的争论,每个人都有自己的理解。此君说的架构和彼君理解的架构未必是一回事。因此我们在讨论架构之前,我们先...
什么才是真正的架构设计? 在软件行业,对于什么是架构,都有很多的争论,每个人都有自己的理解。此君说的架构和彼君理解的架构未必是一回事。因此我们在讨论架构之前,我们先讨论架构的概念定义,概念是人认识这个世界的基础,并用来沟通的...
什么是架构和架构的本质? 什么是架构和架构本质 在软件行业,对于什么是架构,都有很多的争论,每个人都有自己的理解。此君说的架构和彼君理解的架构未必是一回事。因此我们在讨论架构之前,我们先讨论架构的概念定义,概念是人认识这个世界...
Spring依赖注入与自动装配 Spring依赖注入与自动装配 首先推荐狂神说的Spring讲义 ...在Spring中实现控制反转的是IoC容器,其实现方法是依赖注入(Dependency Injection,DI)。所谓的IoC,一句话搞定 : 对象由Spring 来创建 ,
确定知道什么是架构设计??? 什么是架构和架构本质 在软件行业,对于什么是架构,都有很多的争论,每个人都有自己的理解。此君说的架构和彼君理解的架构未必是一回事。因此我们在讨论架构之前,我们先讨论架构的概念定义,概念是人认识这个世界...
作者面对面 | 从化学系学生到软件架构师,是一种什么体验? 在这个背景下,我们全面梳理了系统化学习 JVM 的知识和经验,包括 JVM 的技术和内存模型、JVM 参数和内置工具、GC 算法、GC 日志、内存和线程等相关问题排查分析,以及常见的面试问题深度剖析等进阶方法与实战。...
中国顶级互联网公司的技术组织架构调整预示着什么? 技术委员会同时下设「开源协同」和「自研上云」项目组,发力内部代码的开源和协同,并推动业务在云上全面整合。 技术委员会的成立意味着腾讯的“技术中台”初露端倪,人们开始对这次组织变革有了新的想象空间。不过...
2016年后web开发趋势是什么? 2016年后Web开发趋势是什么 来源:yafeilee.me发布时间:2016-05-06阅读次数:1378 3 近二年的进展 前端发展日新月异, 甚至有一句戏言: "每六星期重写一个前端框架", 行业是像火箭一样, ...
SQL注入原理和方法 最近在做的项目是网络安全评估的内容,其中包含渗透测试,而SQL注入往往是渗透测试中最为有效的手段之一,本文中将会就SQL注入的原理和方法进行叙述,使普通读者对SQL注入有所了解。 SQL注入攻击是黑客对数据库...
SDN 网络如果以正确的方法来架构和运用,就能成为目前最大的业务推动者:把网络,服务器和存储紧密联系在一起,使SOA原则应用于网络层。 SDN 和 API 更加方便地实现 对网络和服务的 编程意图 和 状态接收。 将SOA...
