asp终极防范SQL注入漏洞

下面给出4个函数,足够你抵挡一切SQL注入漏洞!读懂代码,你就能融会贯通。

注意要对所有的request对象进行过滤:包括 request.cookie, request.ServerVariables 等等容易被忽视的对象:


代码如下:

function killn(byval s1) '过滤数值型参数
if not isnumeric(s1) then
killn=0
else
if s1<0 or s1>2147483647 then
killn=0
else
killn=clng(s1)
end if
end if
end function

function killc(byval s1) 过滤货币型参数
if not isnumeric(s1) then
killc=0
else
killc=formatnumber(s1,2,-1,0,0)
end if
end function

function killw(byval s1) '过滤字符型参数
if len(s1)=0 then
killw=""
else
killw=trim(replace(s1,"'",""))
end if
end function

function killbad(byval s1) 过滤所有危险字符,包括跨站脚本
If len(s1) = 0 then
killbad=""
else
killbad = trim(replace(replace(replace(replace(replace(replace(replace(replace(s1,Chr(10), "<br>"), Chr(34), """), ">", ">"), "<", "<"), "&", "&"),chr(39),"&#39"),chr(32)," "),chr(13),""))
end if
end function

(0)

相关推荐

  • access数据库的一些少用操作,ASP,创建数据库文件,创建表,创建字段,ADOX

    复制代码 代码如下: <%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%> <% if Trim(Request.Form("TableName")) '----设置 打开数据库连接 dbs="Data Source="+server.mappath("database.mdb")+";Provider=Microsoft.Jet.OLEDB.4.0;&

  • asp连接access、sql数据库代码及数据库操作代码

    1. ASP与Access数据库连接: 复制代码 代码如下: dim strConn dim conn strConn = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source="+Server.mappath("data/isp.mdb")+";Persist Security Info=False" set conn = Server.CreateObject("ADODB.Connection

  • asp执行带参数的sql语句实例

    asp执行带参数的sql语句,需要向sql语句添加参数,可以有效屏蔽SQL注入,源代码如下: 复制代码 代码如下: var conn = Server.CreateObject("ADODB.Connection"); conn.ConnectionString = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" + Server.MapPath("Test.mdb"); conn.Open();

  • asp 获取access系统表,查询等操作代码

    方法一:直接用ado的OpenSchema()方法打开adSchemaTables,建立一个schema记录集 Code: <% Const adSchemaTables = 20 adSchemaColumns = 4 dim Conn,db dim ConnStr db="temp.mdb"       'ACCESS数据库的文件名,请使用相对于网站根目录的的绝对路径 ConnStr = "Provider=Microsoft.Jet.OLEDB.4.0;Data 

  • Asp 操作Access数据库时出现死锁.ldb的解决方法

    于是我登陆主机的管理面板,重启了网站服务,ldb文件就消失了,网站打开也正常了,但过了数小时后,网站又再次出现以上情况,此种情况持续了好一段时间,网站后来被虚拟主机的供应商屏蔽了,反馈给我的说法是因为我的网站运行时大量占用CPU资源,所以予暂时屏蔽,让我对网站程序或数据库进行优化. 在百度上搜索了一下这方面的情况,结果也不少,总结下来主要都是因为对数据库存取完后,没有及时释放记录集和断开数据库连接,以下谈谈操作Access数据库的标准方法: 1.数据库连接方法:Conn.asp <% dim c

  • ASP ACCESS 日期操作语句小结 By Stabx

    复制代码 代码如下: 13.5.1 列出某一天, 上一星期的数据 SELECT distinct dateandtime FROM ctdate_by_query_date WHERE dateandtime between ((#2006-5-15#+(Weekday(2006-5-15)-7))-6) and (#2006-5-15#-7)+Weekday(2006-5-15) sql="SELECT distinct dateandtime FROM ctarticle WHERE dat

  • ASP 连接 SQL SERVER 2008的方法

    虽然网上有很多介绍,但是我还是费了很大的劲才连上.(要安装IIS和SQL SERVER) 新建一个*.asp文件,键入 <% set conn =server.createobject("adodb.connection") conn.open "provider=sqloledb;data source=local;uid=sa;pwd=******;database=database-name" %> 比较标准的 需要注意的是: DataServer

  • ASP语言实现对SQL SERVER数据库的操作

    目前管理信息系统已从传统的客户机/服务器(C/S)模式转向了浏览器/服务器(B/S)模式,特别是微软公司推出它的新产品ASP语言之后,这种转变更加迅猛.管理信息系统的核心是对数据库进行包括添加.修改和查询等等操作,ASP提供的ADO数据库接口控件,使得程序员再也勿需编写复杂的CGI程序了,而只要用几句简单的语句即可实现以上操作.1.系统环境 PII 350,Ram 64M,WINNT Server 4.0, Service Pack4, IIS 4.0, SQL Server7.0. 2.系统功

  • ASP中巧用Split()函数生成SQL查询语句的实例

    Split 程序代码 复制代码 代码如下: <%attribs="商场名^^快餐店名^^报停名"names=Split(attribs,"^^")i=0for each name in names  response.write names(i)&"<br>"  i=i+1next%> 程序拆分结果:商场名快餐店名报停名 根据 Split 结果生成 SQL 语句 复制代码 代码如下: <%attribs=&q

  • asp实现的查询某关键词在MSSQL数据库位置的代码

    功能是:以一个关键字为索引,搜索整个数据库,然后返回那个关键字所在的表名和列名.(很赞...特别是入侵的时候找不到用户名与密码所在的表的时候,如果能直接通过输入admin这个关键词找出字段...省得一个表一个表的看了.)于是根据那段语句,写了个asp的脚本,方便大家以后搜寻数据库. 代码如下: 复制代码 代码如下: <% 'Confirm a keyword's position of a database(which table & which column) 'By oldjun(htt

  • asp.net(C#) Access 数据操作类

    复制代码 代码如下: using System; using System.Configuration; using System.Data; using System.Data.OleDb; using System.Xml; using System.Collections; namespace Website.Command { /// <summary> /// WSplus 的摘要说明. /// </summary> public class AccessClass :

  • asp连接mysql数据库详细实现代码

    想要asp能连接mysql数据库需要安装MySQL ODBC 3.51 驱动 http://www.jb51.net/softs/19910.html我们先看下面这段代码 复制代码 代码如下: set conn = server.createobject("adodb.connection") Conn.Open "DRIVER={MySQL ODBC 3.51 Driver};SERVER=127.0.0.1;DATABASE=Shops;USER=root;PASSWOR

  • asp 在线备份与恢复sqlserver数据库的代码

    asp在线备份sql server数据库: 1.备份sqlserver 复制代码 代码如下: <% SQL="backup database 数据库名 to disk='"&Server.MapPath("backup")&"\"&"backuptext.dat"&"'" set cnn=Server.createobject("adodb.connectio

  • ASP通过ODBC连接SQL Server 2008数据库的方法

    创建数据库连接文件[dsn文件]的方法 创建 ODBC DSN 文件 在创建数据库脚本之前,必须提供一条使 ADO 定位.标识和与数据库通讯的途径.数据库驱动程序使用 Data Source Name (DSN) 定位和标识特定的 ODBC 兼容数据库,将信息从 Web 应用程序传递给数据库.典型情况下,DSN 包含数据库配置.用户安全性和定位信息,且可以获取 Windows NT 注册表项中或文本文件的表格. 通过 ODBC,您可以选择希望创建的 DSN 的类型:用户.系统或文件.用户和系统

  • asp操作access提示无法从指定的数据表中删除原因分析及解决

    数据库访问权限问题 右击数据库文件->属性->安全->添加->高级->立即查找->IUSR_XXXX & IWAN_XXXX ->确定->打开两个用户的"写入"和"修改"的权限 注意:XXXX为你的计算机名 如果操作系统用的是XP,则需要在 工具->文件夹选项->视图 中关闭"简单文件共享" 是windows本身对IUSER用户的权限问题,尤其是2000以上NTFS格式的硬盘默认

随机推荐