有没有防sql注入的代码啊

代码之城 2011-12-01 07:05:41
有没有防sql注入的代码啊,我的站是asp的, 请教啊
...全文
121 6 打赏 收藏 转发到动态 举报
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
代码之城 2011-12-02
  • 打赏
  • 举报
 回复
[Quote=引用 5 楼 lp0219 的回复:]
写一些对传参的ID的类型判断函数

VB code

Function replacestr(str)
replacestr=replace(str,"'","")
replacestr=replace(replacestr,"]","")
replacestr=replace(replacestr,"[","")
replacestr=replace(re……
[/Quote]

这些代码写到哪里啊
摇曳的风筝 2011-12-02
  • 打赏
  • 举报
 回复
写一些对传参的ID的类型判断函数
Function replacestr(str)

   replacestr=replace(str,"'","")

   replacestr=replace(replacestr,"]","")

   replacestr=replace(replacestr,"[","")

   replacestr=replace(replacestr,";","")

   replacestr=replace(replacestr,":","")

   replacestr=replace(replacestr,"or","")

   replacestr=replace(replacestr,"and","")

   replacestr=replace(replacestr,"","")

End Function 

 





'*************************************************************

'判断是否为数字

'*************************************************************

Function ChkNum(Str)

  ChkNum=true

  if not IsNumeric(Str) then

   ChkNum=false

  end if

End Function





'*************************************************************



'*************************************************************

 Private sub checkREFERER()

  server1=Cstr(Request.ServerVariables("HTTP_REFERER"))

  server2=Cstr(Request.ServerVariables("SERVER_NAME"))

  if  mid(server1,8,len(server2))<>server2  then

   response.Write("请不要从外部提交数据!更多问题请联系管理员")

   response.End()

  end if

 end sub









'*************************************************************

'防止SQL注入攻击,检测request("xxxx"后面的参考是否为数字型 主要用于检测id)

'*************************************************************

Function Chkrequest(Para)

      If Not (IsNull(Para) Or Trim(Para)="" Or Not IsNumeric(Para)) Then

         Chkrequest=int(Para)

      Else

		  response.Write("服务器处理URL时出错,请联系管理员")

		  response.End()

	  End If

End Function
Dogfish 2011-12-01
  • 打赏
  • 举报
 回复
加强类型检测和控制。
lx66103567 2011-12-01
  • 打赏
  • 举报
 回复
没这么复杂,就是判断的时候别直接拼接字符串,用parameter穿参数的形式就行了。。。、、、咯。。。
hookee 2011-12-01
  • 打赏
  • 举报
 回复
用 ADO对象来操作数据库的话不需要防SQL注入过滤,用参数化查询取代SQL拼接就可以了。
------
非要拼接字符串的话 :
Access 的话可以 把字符字段的输入 Replace("xx","'", "''")
SQL Server 尽量用存储过程。拼接注入的方法太多了,必须用正则检查字段的类型大小和特征。
-晴天 2011-12-01
  • 打赏
  • 举报
 回复
曾经用过动网论坛上的代码,里面有相关的防注入函数.
JAVA代码审计之SQL注入
本章节课程主要从以下三方面详细的介绍了如何针对java代码sql注入的审计方法及黑盒验证:1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
sql注入 php代码,完美的phpsql注入代码
一款比较完美的phpsql注入代码,很多初学者都有被sql注入的经验吧,今天我们来分享你一款比较完整的sql注入代码,有需要的同学可以参考一下:/*************************说明:判断传递的变量中是否含有非法字符如$_POST、$_GET功能:注入*************************///要过滤的非法字符$ArrFiltrate=array("'","or...
PHP之SQL注入代码,PHPXSS SQL注入代码
360提示XSS漏洞?这个XSS漏洞很不好修复。。。。。如果是PHP程序的话,可以用下面的代码来过滤。。。 PHPXSS SQL注入代码 class protection{ public static function filtrate($str) { $farr = array( "/\\s+/", "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|o
C#SQL注入代码的三种方法
C#SQL注入代码的三种方法
PHPSQL注入代码,PHP 预CSRF、XSS、SQL注入攻击
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
ASP

28,391

社区成员

357,059

社区内容

发帖
与我相关
我的任务
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
  • ASP
  • 无·法
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章