一段asp防注入的通用脚本

放在conn.asp里就行了。

'屏蔽通过地址栏攻击 
url=Request.ServerVariables("QUERY_STRING") 
if instr(url,";")>=1 then 
url=Replace(url,";",";") : Response.Redirect("?" & url) 
end if 
'屏蔽通过表单攻击 
for each item in request.form 
stritem=lcase(server.HTMLEncode(Request.form(item))) 
if instr(stritem,"select ")>=1 or instr(stritem,"insert ")>=1 or instr(stritem,"update ")>=1 or instr(stritem,"delete ")>=1 or instr(stritem,"exec ")>=1 or instr(stritem,"declare ")>=1 then 
response.write ("对不起,请不要输入非法字符!") 
response.end 
end if 
next

(0)

相关推荐

  • 一段asp防注入的通用脚本

    放在conn.asp里就行了. '屏蔽通过地址栏攻击  url=Request.ServerVariables("QUERY_STRING")  if instr(url,";")>=1 then  url=Replace(url,";",":") : Response.Redirect("?" & url)  end if  '屏蔽通过表单攻击  for each item in reque

  • 编写通用的asp防注入程序

    编写通用的asp防注入程序     选择自 ph4studio 的 Blog   关键字   编写通用的asp防注入程序  出处 sql注入被那些菜鸟级别的所谓黑客高手玩出了滋味,,发现现在大部分黑客入侵都是基于sql注入实现的  ,哎,,谁让这个入门容易呢,好了,,不说废话了,,现在我开始说如果编写通用的sql防注入程序  一般的http请求不外乎 get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中  非法字符即可,所以我们实现http 请求信息过滤就可以判

  • asp中一段防SQL注入的通用脚本

    '屏蔽通过地址栏攻击   url=Request.ServerVariables("QUERY_STRING")   if instr(url,";")>=1 then   url=Replace(url,";",":") : Response.Redirect("?" & url)   end if   '屏蔽通过表单攻击    for each item in request.form  

  • 万能Asp防注入代码 拒绝攻击

    这几天着实为sql注入漏洞伤了神,网上的代码好多不是很深奥就是麻烦.终于找到了万能防注代码,分享了,呵呵 .操作简单上手,只要来个包含或放入conn.asp中,搞定.末了,估计还有一些危险字符没有放全,帮我补全一下,谢谢了! <%  ''''--------定义部份------------------  Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr  ''''自定义需要过滤的字串,用 "防" 分隔  Fy_In = &q

  • 整理php防注入和XSS攻击通用过滤

    对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全. 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1. 假定所有的用户输入数据都是"邪恶"的 2. 弱类型的脚本语言必须保证类型和期望的一致 3.

  • ASP程序中常用的脚本语言

    在浏览器中通过查看源代码的方式是无法看到ASP源代码的,你只能看到由ASP文件输出的结果,而那些只是纯粹的HTML而已.这是因为,在结果被送回浏览器前,脚本已经在服务器执行了. 实例: 用ASP写文本 以下为引用的内容: <html> <body> <% response.write("Hello World!") %> </body> </html> 向文本添加HTML 以下为引用的内容: <html> <

  • php简单实现sql防注入的方法

    本文实例讲述了php简单实现sql防注入的方法.分享给大家供大家参考,具体如下: 这里没有太多的过滤,主要是针对php和mysql的组合. 一般性的防注入,只要使用php的 addslashes 函数就可以了. 以下是一段copy来的代码: PHP代码: $_POST = sql_injection($_POST); $_GET = sql_injection($_GET); function sql_injection($content) { if (!get_magic_quotes_gpc

  • Asp.Net类型转换类(通用类)代码分享

    废话不多说了,直接给大家贴代码了,具体代码如下所述: /// <summary> /// 类型转换类 /// 处理数据库获取字段为空的情况 /// </summary> public static class DBConvert { #region------------------ToInt32类型转换------------------ /// <summary> /// 读取数据库中字符串并转换成Int32 /// 为空时返回0 /// </summary&

  • Asp.Net实现的通用分页函数

    本文实例讲述了Asp.Net实现的通用分页函数.分享给大家供大家参考,具体如下: 功能: 1.每页设置显示9页,超过9页,点5页后的+1页显示(可以随便修改) 2.CSS样式自己可以设置 3.无任何咋代码产生,利于搜索引擎优化 分页程序 objPDS = new PagedDataSource(); objPDS.DataSource = dtTable.DefaultView;//绑定数据源 objPDS.AllowPaging = true; objPDS.PageSize =10;//分页

  • php中addslashes函数与sql防注入

    本文实例讲述了php中addslashes函数与sql防注入.分享给大家供大家参考.具体分析如下: addslashes可会自动给单引号,双引号增加\\\\\\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下: 复制代码 代码如下: echo addcslashes('foo[ ]','a..z'); //输出:foo[ ] $str="is your name o'reilly?"; //定义字符串,其中包括需要转义的字符 e

随机推荐