ASP防SQL注入攻击程序

冰菓小权

冰菓小权

2016-01-29 18:57

ASP防SQL注入攻击程序,ASP防SQL注入攻击程序
 

  SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。
  IIS传递给asp.dll的get 请求是是以字符串的形式,,当 传递给Request.QueryString数据后,asp解析器会分析Request.QueryString的信息,,然后根据"&",分出各个数组内的数据所以get的拦截如下:
  首先我们定义请求中不能包含如下字符:

|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
 

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/asp/)

各个字符用"|"隔开,,然后我们判断的得到的Request.QueryString,具体代码如下 :

dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
 For Each SQL_Get In Request.QueryString
  For SQL_Data=0 To Ubound(SQL_inj)
   if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
    Response.Write "<Script Language=****>alert('天下电影联盟SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入!');history.back(-1)</Script>"
    Response.end
   end if
  next
 Next
End If


这样我们就实现了get请求的注入的拦截,但是我们还要过滤post请求,所以我们还得继续考虑request.form,这个也是以数组形式存在的,我们只需要再进一次循环判断即可。代码如下:

If Request.Form<>"" Then
 For Each Sql_Post In Request.Form
  For SQL_Data=0 To Ubound(SQL_inj)
   if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
    Response.Write "<Script Language=****>alert('天下电影联盟SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入!nnHTTP: //www.521movie.com ');history.back(-1)</Script>"
    Response.end
   end if
  next
 next
end if

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/asp/)


好了大功告成,我们已经实现了get和post请求的信息拦截,你只需要在conn.asp之类的打开数据库文件之前引用这个页面即可。放心的继续开发你的程序,不用再考虑是否还会受到SQL注入攻击。难道不是么?

 
展开更多 50%)
分享

猜你喜欢

ASP防SQL注入攻击程序

ASP
ASP防SQL注入攻击程序

编写通用的ASP防SQL注入攻击程序

Web开发
编写通用的ASP防SQL注入攻击程序

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

如何编写通用的ASP防SQL注入攻击程序

Web开发
如何编写通用的ASP防SQL注入攻击程序

ASP SQL防注入的方法

Web开发
ASP SQL防注入的方法

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

SQL注入程序带来的攻击及防范

Web开发
SQL注入程序带来的攻击及防范

SQL注入不完全思路与防注入程序

SQLServer
SQL注入不完全思路与防注入程序

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

在ASP中操作HTTP报头方法分析

在ASP中操作HTTP报头方法分析

《FIFA 15》UT模式终极球队解析攻略

《FIFA 15》UT模式终极球队解析攻略
下拉加载更多内容 ↓