社区
ASP
帖子详情
网上有很多防注入的程序。但是怎么把and这样常用的单词都屏蔽掉了??
hzesen1222
2010-07-16 11:56:15
我现在做一个留言的功能。 得用放post的注入。 网上那防注入程序用了。 连and都不能出现了。。
再加上我做的是英文站。浏览者都是英文使用者。这就更成问题了。。 不知道各位如何解决这个问题的?
难道不防注入?或者难道真的把and等常用单词与符号都屏蔽了?
...全文
192
11
打赏
收藏
网上有很多防注入的程序。但是怎么把and这样常用的单词都屏蔽掉了??
我现在做一个留言的功能。 得用放post的注入。 网上那防注入程序用了。 连and都不能出现了。。 再加上我做的是英文站。浏览者都是英文使用者。这就更成问题了。。 不知道各位如何解决这个问题的? 难道不防注入?或者难道真的把and等常用单词与符号都屏蔽了?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
11 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
kaifadi
2010-08-06
打赏
举报
回复
详细点,推荐只过滤单引号!因为那个在SQL中非法!其他什么都无所未。根本执行不了。
天下如山
2010-08-05
打赏
举报
回复
因为 and可以用为手动注入的 你看看这
http://www.sec520.com/Article/2009/200909/4383.html
wcwtitxu
2010-08-05
打赏
举报
回复
[Quote=引用 2 楼 mocom 的回复:]
这叫以讹传讹,以错传错,Internet的功能就是传播正确和错误的观点,最初提出用关键字屏蔽sql注入的程序员误导了非常多的刚开始学习WEB编程的程序员,然后这些WEB程序员又坚持该观点去误导更多的程序员
这里有个防止注入的参考方法,可以看看,在此之前可以先看看SQL注入原理是什么,有助于理解为何要用那种方法来防止注入
http://topic.csdn.net/u/20100703/……
[/Quote]
俺也认为 过滤屏蔽关键字 本身就是一个错误的防注入方法.
巫妖天下
2010-08-05
打赏
举报
回复
把'换成`就ok啦,其他都不用鸟。
ak14647117
2010-08-05
打赏
举报
回复
有点夸张
xzx99
2010-08-05
打赏
举报
回复
学习学习
mocom
2010-07-16
打赏
举报
回复
这叫以讹传讹,以错传错,Internet的功能就是传播正确和错误的观点,最初提出用关键字屏蔽sql注入的程序员误导了非常多的刚开始学习WEB编程的程序员,然后这些WEB程序员又坚持该观点去误导更多的程序员
这里有个防止注入的参考方法,可以看看,在此之前可以先看看SQL注入原理是什么,有助于理解为何要用那种方法来防止注入
http://topic.csdn.net/u/20100703/13/5ebc49c6-9cc7-44d0-ac69-2d8f5c193ba7.html
基本思路是将客户端数据分成两种格式
1、数字
2、字符串
然后根据不同数据类型对数据做不同处理,数字型数据强行转换为数字,文本型数据则根据数据库不同,替换注入点为合法SQL字符,有人说php比asp安全大概因为php中有个变量开关:set_magic_quotes_runtime,它的功能就是转换GET和POST的数据中不符合SQL语法规则的字符串为合法SQL字符串变量,并且一般情况下,这个开关是开着的,它起始于3.0.6版本,在此之前,它对客户端数据处理方法与ASP是一样的按原始数据获取,而在此之后,它就把'"替换为\'\"了,mysql中对字符串变量中的'是转义的,而ASP没有这样的开关,只有老老实实自己处理每个客户端变量,对于字符串变量,将'替换为''就可以了
yeyuxuan2006
2010-07-16
打赏
举报
回复
网上那段不可取的。替换掉引号,使用RS更新记录,使用储存过程
2321zhf
2010-07-16
打赏
举报
回复
单引号过滤一下就OK了
chengjinhui01
2010-07-16
打赏
举报
回复
passwors=rs("password"),',',',,'
KK3K2005
2010-07-16
打赏
举报
回复
在保存时吧所有空格代换成特殊的字符串
读取的时候在转换下
政府科技管理者如何利用区域科技创新数智大脑实现精准招商?.docx
科易网基于40亿+科创知识图谱数据库,深度探索AI技术在技术转移、成果转化、技术经纪、知识产权、产业创新、科技招商等垂直领域的多样化应用场景,研究科技创新领域的AI+数智化解决方案,推动科技创新与产业创新智能化发展。
ГОСТ 32134.12-2013.pdf
ГОСТ 32134.12-2013.pdf
ГОСТ 32035-2013.pdf
ГОСТ 32035-2013.pdf
ГОСТ 32217-2013 (2019).pdf
ГОСТ 32217-2013 (2019).pdf
ASP
28,403
社区成员
356,946
社区内容
发帖
与我相关
我的任务
ASP
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
复制链接
扫一扫
分享
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章