使用这个防注水，好像暂时安全了，但是加入这个，正常的发布新闻也发布不了了

加入注入代码有东西不能提交是因为注入代码过滤了词汇，可以查看记录信息，看过滤掉了哪个词汇，比如引号什么的，比如brand或者action=select这个词会因为含and和select而被过滤掉导致不能提交，一般是在post的过滤词汇里，把这些频繁出现的词汇删除了就好了，但是如果自己可以写代码判断的话那就最好，如果有那位高人能写出来可以能发出来共享一下呗。
我也加了注入代码，有些需要提交的地方用另一个连接数据库的页面，然后把里面的某些删除了。
昨天加完今天到现在还没有出现问题。。。。继续关注。。。。。

近期大家都被daxia123.cn上的注入病毒搞的很惨，经查该域名是张国新先生注册的，查证信息如下：

域名 daxia123.cn
域名状态 clientHold
域名联系人 张新国
管理联系人电子邮件 he358@yahoo.cn
所属注册商 北京万网志成科技有限公司
域名服务器 dns27.hichina.com
域名服务器 dns28.hichina.com
注册日期 2008-04-28 20:43
过期日期 2009-04-28 20:43




请大家找到此人联系一下，可能病毒不是他搞的，但目前只要先停掉域名的解析或转向，就可以先暂停掉病毒，也给大家时间想办法修复，能看到些贴的朋友请帮忙，我已经发邮件到此域名联系人的邮箱了，但不知道会不会有回复。

已经把网站代码重写了，相信应该能搞定这些问题。。

真是不胜其烦啊，有哪位大侠出来给弄个彻底点的办法！

我也中标了..不过我用了一个比较笨的办法冶了标.没治本..先将就一下.

就是过滤了html代码.因为我的全是在网站标题,关键字,描述,也就是网站参数配置上面出现的..所以调用的时候去掉了html代码..

继续关键最终解决办法!

中标二个多星期了，恢复数据库不管用，一直瘫痪中，上面的到底哪个方法比较可行呢？

添加防注入代码到是可以防止daxia123
但是不能发布文章和上传图片了，那位大侠来解决一下呀！
加入的防注入代码为：
+++++++++++++++++++++++++++++++++++++++++++++++++++
<%dim sql_leach,sql_leach_0,Sql_DATA,SQL_Get,Sql_Post
sql_leach = "',and,exec,insert,select,delete,update,count,chr,mid,master,truncate,char,declare,0x4445434C4152452040542056415243484,4152452040542056415243484152283235352,0x4445434C415245204054205,48415228323535292C4043205641524,22832353529204445434C415245205,61626C655F437572736F7220435552534F5220464F52205345,45435420612E6E616D652C622E6E616D652046524F4D207379736F626A656, <script,92C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435,F626A6563747320612C737973636F6C756D6E73206220574845524520612E69643D622E696420414E4420612E78747970653D27752720414E442028622E78747970653D3939204F5220622E78747970,5204054205641524348415228323535292C404320564152434,VaRcHaR,sYsDaTaBaSeS,sElEcT,dEcLaRe"
'以上是除了常规防注入字符集外。又加了本木马专有的十六进制字符集。
sql_leach_0 = split(sql_leach,",")

If Request.QueryString <>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(sql_leach_0)
if instr(Request.QueryString(SQL_Get),sql_leach_0(Sql_DATA))>0 Then
Response.Write "请不要提交可注入的字符串！非法字符为"&sql_leach_0(Sql_DATA)
Response.end
end if
next

Next
End If


If Request.Form <>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(sql_leach_0)
if instr(Request.Form(Sql_Post),sql_leach_0(Sql_DATA))>0 Then
Response.Write "请不要提交可注入的字符串！非法字符为"&sql_leach_0(Sql_DATA)
Response.end
end if
next
next
end if%>
++++++++++++++++++++++++++++++++++++++++++
还有一个关键的只要将这段代码放入conn.asp 那么就提示
dim 名称重定义
我将变量设置的再如何复杂都无济于事

你的帖子非常受用，但是有个问题，对ntext、text类型的不能修改，能否麻烦仁兄给补充一个，不胜感激

use 数据库名称
update 表名称 set 列名称=replace(CAST(列名称 AS varchar(8000)),'修改的字符',' ')
这是针对text,ntext类型的修改，但是我没法加入到水上飞云的代码中，只能手动找到无法用水上飞云的代码修改的列，在进行查询修改，望水上飞云结合下我这个代码集成到你的代码中去