瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 关于中http://cn.daxia123.cn/cn.js解决办法

欢迎 投票:关于中http://cn.daxia123.cn/cn.js解决办法 时间限制截止时间:2009-01-14
有效果
0票 / 0.00%
无效果
1票 / 100.00%
0 抱歉,您没有参与投票的权限
1   1  /  1  页   跳转

关于中http://cn.daxia123.cn/cn.js解决办法

关于中http://cn.daxia123.cn/cn.js解决办法

今天一个朋友找我请教关于数据库的varchar 跟char类型字段被加入一段 <script src=http://cn.daxia123.cn/cn.js></script> 这个代码, 介于这个 他给我发了 本论坛的一些帖子, 通过帖子的内容查看 以及朋友网站iis日志记录分析得知 加入SQL防注入应该是有效果的, 只是这个防止注入代码的判断方式稍微修改下应该就可以了. 下面贴出来本人所写代码 希望可以帮助大家, 有没有效果希望都说出来 也为了继续修改代码让网站更安全!

希望测试的朋友可以参与下投票以便我知道是否有效果!

代码如下:

'龍宇添加防止SQL注入检测
'请将此代码加入到您网站的Conn连接文件中!
dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare|daxia123|<script|/script>"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
        For Each SQL_Get In Request.QueryString
                For SQL_Data=0 To Ubound(SQL_inj)
                        if instr(LCase(Request.QueryString(SQL_Get)),LCase(Sql_Inj(Sql_DATA)))>0 Then
                                Response.Write "<Script Language='javascript'>alert('请不要在参数中包含非法字符尝试注入!');history.back(-1)</Script>"
                        Response.end
                        end if
                next
   
        Next
End If
If Request.Form<>"" Then
        For Each Sql_Post In Request.Form
                For SQL_Data=0 To Ubound(SQL_inj)
                        if instr(LCase(Request.Form(Sql_Post)),LCase(Sql_Inj(Sql_DATA)))>0 Then
                                Response.Write "<Script Language='javascript'>alert('请不要在参数中包含非法字符尝试注入!');history.back(-1)</Script>"
                                Response.end
                        end if
                next
        next
end if
'检测结束 2009-1-7 By 龍宇

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
最后编辑龍宇 最后编辑于 2009-01-07 16:03:13
分享到:
gototop
 

回复:关于中http://cn.daxia123.cn/cn.js解决办法

没错误呀?你那里提示什么???我这个已经给一个朋友使用了!昨天换的到现在没出现被挂马
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT