求助:防SQL注入代码运行的疑惑

jessezappy 2012-12-07 12:21:49
有如下简化的正则表达式用于防SQL注入检测:
(我简化出的发生疑惑的代码)
<%
Dim regEx, Match, sValue
Set regEx = New RegExp
regEx.IgnoreCase = True
regEx.Global = True
regEx.MultiLine = True
regEx.Pattern = "'|;|%|=|""|#|([\s\b+()]+(select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists|script)[\s\b+]*)"
sValue = "SELECT" '被检测的关键字
If regEx.Test(sValue) Then
Response.Write "Find !"
else
Response.Write "Not Find !"
End If
%>


以上代码运行时返回的居然是 "Not Find !"
而如果在关键字前面加上一个空格,变为这样:

sValue = " SELECT"

即可检测到,返回结果 "Find !"

不知何故,难道是上面的正则表达式构造有问题?
...全文
212 7 打赏 收藏 转发到动态 举报
写回复
用AI写文章
7 条回复
切换为时间正序
请发表友善的回复…
发表回复
csdn_aspnet 2012-12-08
  • 打赏
  • 举报
回复
IIS传递给asp.dll的get 请求是是以字符串的形式,,当 传递给Request.QueryString数据后,asp解析器会分析Request.QueryString的信息,,然后根据"&",分出各个数组内的数据所以get的拦截如下:   首先我们定义请求中不能包含如下字符: '|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare   各个字符用"|"隔开,,然后我们判断的得到的Request.QueryString,具体代码如下 : dim sql_injdata SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" SQL_inj = split(SQL_Injdata,"|") If Request.QueryString<>"" Then  For Each SQL_Get In Request.QueryString   For SQL_Data=0 To Ubound(SQL_inj)    if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then     Response.Write "<Script Language=****>alert('SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入!');history.back(-1)</Script>"     Response.end    end if   next  Next End If   这样我们就实现了get请求的注入的拦截,但是我们还要过滤post请求,所以我们还得继续考虑request.form,这个也是以数组形式存在的,我们只需要再进一次循环判断即可。代码如下: If Request.Form<>"" Then  For Each Sql_Post In Request.Form   For SQL_Data=0 To Ubound(SQL_inj)    if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then     Response.Write "<Script Language=****>alert('SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入!nnHTTP://www.521movie.com ');history.back(-1)</Script>"     Response.end    end if   next  next end if   好了大功告成,我们已经实现了get和post请求的信息拦截,你只需要在conn.asp之类的打开数据库文件之前引用这个页面即可
hookee 2012-12-07
  • 打赏
  • 举报
回复
用*取代+ [\s\b+()]*(select 不用SQL拼接就可以防注入了,不需要过滤这些字符。
lzp4881 2012-12-07
  • 打赏
  • 举报
回复
所谓的通用防注入,都常都是防自己,防不了别人。 其实只要作好两点,就基本上可以防止绝大多数注入了,不用搞这么麻烦。 一是字型串参数过滤掉单引号。 二是数值型参数判断一下类型。
scscms太阳光 2012-12-07
  • 打赏
  • 举报
回复
[\s\b+()]+(select| 从这里就可以看到select前面必须还有其他字符才可以检测到。
yangxin_eyes 2012-12-07
  • 打赏
  • 举报
回复
#region 防止SQL注入 /// <summary> /// 文本格式化方法:防止sql注入错误 /// </summary> /// <param name="strInfo">待格式化文本</param> /// <returns>格式化后文本</returns> public static string sqlFormat(string strInfo) { #region 文本格式化方法:防止sql注入错误 strInfo = strInfo.Replace("'", ""); strInfo = strInfo.Replace("`", ""); strInfo = strInfo.Replace("~", ""); strInfo = strInfo.Replace("+", ""); strInfo = strInfo.Replace("%", ""); // strInfo = strInfo.Replace(":", ""); strInfo = strInfo.Replace("<", ""); strInfo = strInfo.Replace(">", ""); // strInfo = strInfo.Replace("_", ""); strInfo = strInfo.Replace("[", ""); strInfo = strInfo.Replace("]", ""); strInfo = strInfo.Replace("{", ""); strInfo = strInfo.Replace("}", ""); strInfo = strInfo.Replace("^", ""); strInfo = strInfo.Replace("‘", ""); strInfo = strInfo.Replace("’", ""); strInfo = strInfo.Replace("“", ""); strInfo = strInfo.Replace("”", ""); strInfo = strInfo.Replace("。", ""); strInfo = strInfo.Trim(); return strInfo; #endregion } #endregion
Dogfish 2012-12-07
  • 打赏
  • 举报
回复
首先要加强类型控制。
未知数 2012-12-07
  • 打赏
  • 举报
回复
你吧 and or use go 什么的通通都不合法了,有很多还是常用字符串呢,你怎么知道是攻击而不是用户的正常输入?用户需要输入含某个关键字的字符串怎么办? 感觉只需替换掉'防止结束字符串就可以了 当然最好的办法是楼上说的不用字符串拼接sql语句,使用数据库提供的参数传递方式

28,389

社区成员

发帖
与我相关
我的任务
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
  • ASP
  • 无·法
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧