在ASP中，sql防注入的问题~~~~~~

j147933783 2008-12-24 11:06:55

我用一段通用的SQL防注入代码文件名是“checkSql.asp”，在conn文件中include这个文件"checkSql.asp".
页面刷新的时候出现了"名称重定义"这个错误，我用baidu和google都查过，都是说修改用dim定义的名称就可以了。问题是我都名称修改成这样了，还是不行。以下是我修改后的名称的checkSql.asp代码



<% 

Dim qwerFytest_Urlxxx,qwerFytest_axxx,qwerFytest_xxxx,qwerFytest_Csxxx(),qwerFytest_Clxxx,qwerFytest_Tsxxx,qwerFytest_Zxxxx

'---定义部份 头------ 

qwerFytest_Clxxx = 1 '处理方式：1=提示信息,2=转向页面,3=先提示再转向 

qwerFytest_Zxxxx = "Error.Asp" '出错时转向的页面 

'---定义部份 尾------ 

On Error Resume Next 

qwerFytest_Urlxxx=Request.ServerVariables("QUERY_STRING") 

qwerFytest_axxx=split(qwerFytest_Urlxxx,"&") 

redim qwerFytest_Csxxx(ubound(qwerFytest_axxx)) 

On Error Resume Next 

for qwerFytest_xxxx=0 to ubound(qwerFytest_axxx) 

qwerFytest_Csxxx(qwerFytest_xxxx) = left(qwerFytest_axxx(qwerFytest_xxxx),instr(qwerFytest_axxx(qwerFytest_xxxx),"=")-1) 

Next 

For qwerFytest_xxxx=0 to ubound(qwerFytest_Csxxx) 

If qwerFytest_Csxxx(qwerFytest_xxxx)<>"" Then 

If Instr(LCase(Request(qwerFytest_Csxxx(qwerFytest_xxxx))),"'")<>0 or Instr(LCase(Request(qwerFytest_Csxxx(qwerFytest_xxxx))),"and")<>0 or Instr(LCase(Request(qwerFytest_Csxxx(qwerFytest_xxxx))),"select")<>0 or Instr(LCase(Request(qwerFytest_Csxxx(qwerFytest_xxxx))),"update")<>0 or Instr(LCase(Request(qwerFytest_Csxxx(qwerFytest_xxxx))),"chr")<>0 or Instr(LCase(Request(qwerFytest_Csxxx(qwerFytest_xxxx))),"delete%20from")<>0 or Instr(LCase(Request(qwerFytest_Csxxx(qwerFytest_xxxx))),";")<>0 or Instr(LCase(Request(qwerFytest_Csxxx(qwerFytest_xxxx))),"insert")<>0 or Instr(LCase(Request(qwerFytest_Csxxx(qwerFytest_xxxx))),"mid")<>0 Or Instr(LCase(Request(qwerFytest_Csxxx(qwerFytest_xxxx))),"master.")<>0 Then 

Select Case qwerFytest_Clxxx 

Case "1" 

Response.Write "<Script Language=JavaScript>alert(' 出现错误！参数 "&qwerFytest_Csxxx(qwerFytest_xxxx)&" 的值中包含非法字符串！\n\n 请不要在参数中出现：;,and,select,update,insert,delete,chr 等非法字符！\n\n你想干吗！不要做无聊的事情！谢谢！');window.close();</Script>" 

Case "2" 

Response.Write "<Script Language=JavaScript>location.href='"&Fytest_Zx&"'</Script>" 

Case "3" 

Response.Write "<Script Language=JavaScript>alert(' 出现错误！参数 "&qwerFytest_Csxxx(qwerFytest_xxxx)&"的值中包含非法字符串！\n\n 请不要在参数中出现：;,and,select,update,insert,delete,chr 等非法字符！\n\n你想干吗！不要做无聊的事情！谢谢！');location.href='"&Fytest_Zx&"';</Script>" 

End Select 

Response.End 

End If 

End If 

Next 

%>

各位高手们，帮我看看，有没有解决的办法。我把这个代码放到别的网站去防注入，都可以，测试也成功，就是这个不行。

...全文

85 5 打赏收藏转发到动态举报

写回复

用AI写文章

5 条回复

切换为时间正序

请发表友善的回复…

发表回复

ChinaXtHuLang 2008-12-26

打赏
举报

[Quote=引用 3 楼 kinghome 的回复:]
名称重定义
/xk/inc/checkSql.asp, line 2, column 4
Dim qwerFytest_Urlxxx,qwerFytest_axxx,qwerFytest_xxxx,qwerFytest_Csxxx(),qwerFytest_Clxxx,qwerFytest_Tsxxx,qwerFytest_Zxxxx
---^

你要找找那里还有定义 qwerFytest_Urlxxx 的
[/Quote]

LZ你到你的程序里面找找看看有没有定义相同的变量就知道了。

kinghome 2008-12-26

打赏
举报

名称重定义
/xk/inc/checkSql.asp, line 2, column 4
Dim qwerFytest_Urlxxx,qwerFytest_axxx,qwerFytest_xxxx,qwerFytest_Csxxx(),qwerFytest_Clxxx,qwerFytest_Tsxxx,qwerFytest_Zxxxx
---^

你要找找那里还有定义 qwerFytest_Urlxxx 的

j147933783 2008-12-26

打赏
举报

没有人帮我看看吗?

gmlwl 2008-12-26

打赏
举报

都提示你的,就在
Dim qwerFytest_Urlxxx,qwerFytest_axxx,qwerFytest_xxxx,qwerFytest_Csxxx(),qwerFytest_Clxxx,qwerFytest_Tsxxx,qwerFytest_Zxxxx

这些变量中,你重复定义了,如果不在本页,看看包含它的文件中,有没有重复的

j147933783 2008-12-24

打赏
举报



无法显示网页 

试图访问的网页出现问题，无法显示。 



--------------------------------------------------------------------------------



请尝试执行下列操作：



单击刷新按钮，或稍后重试。



打开 localhost 主页，然后查找与所需信息相关的链接。 

HTTP 错误 500.100 - 内部服务器错误 - ASP 错误

Internet 信息服务



--------------------------------------------------------------------------------



技术信息（用于支持人员）



错误类型：

Microsoft VBScript 编译器错误 (0x800A0411)

名称重定义

/xk/inc/checkSql.asp, line 2, column 4

Dim qwerFytest_Urlxxx,qwerFytest_axxx,qwerFytest_xxxx,qwerFytest_Csxxx(),qwerFytest_Clxxx,qwerFytest_Tsxxx,qwerFytest_Zxxxx

---^





浏览器类型：

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727) 



网页：

GET /xk/index.asp 



时间：

2008年12月24日, 11:10:04 





详细信息：

Microsoft 支持