联系

点击这里立即发消息给我

加腾讯QQ:211812590
E_mail: 211812590@qq.com

条码二维码软件
实用工具软件

站点日历
73 2018 - 7 48
1234567
891011121314
15161718192021
22232425262728
293031




日志搜索

 标题   内容

联系

点击这里立即发消息给我

E_mail: 211812590@qq.com


★★官方AutoCAD2017软件 简体中文支持32/64位 激活 CMS126企业网站管理系统(全站静态)
晴天 对一切的SQL注入Say NO   [ 日期:2010-08-01 ]   [ 来自:本站原创 ]

SQL注入漏洞可谓是“千里之堤,溃于蚁穴”,这种漏洞在网上极为普遍,通常是由于程序员对注入不了解,或者程序过滤不严格,或者某个参数忘记检查导致。本人自己也吃过苦头。在这里,我给大家一个函数,代替ASP中的Request函数,可以对一切的SQL注入Say NO,函数如下:

Function SafeRequest(ParaName,ParaType)
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)
Dim Paravalue
Paravalue=Request(ParaName)
If ParaType=1 then
If not isNumeric(Paravalue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
Paravalue=replace(Paravalue,"'","''")
End if
SafeRequest=Paravalue
End function

sql注入被那些菜鸟级别的所谓黑客高手玩出了滋味,,发现现在大部分黑客入侵都是基于sql注入实现的
,哎,,谁让这个入门容易呢,好了,,不说废话了,,现在我开始说如果编写通用的sql防注入程序
一般的http请求不外乎 get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中
非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到sql注入攻击。
iis传递给asp.dll的get 请求是是以字符串的形式,,当传递给request.querystring数据后,,
asp解析器会分析request.querystring的信息,,然后根据"&",分出各个数组内的数据
所以get的拦截如下
首先我们定义请求中不能包含如下字符
'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
各个字符用"|"隔开,,然后我们判断的得到的request.querystring
具体代码如下
dim sql_injdata
sql_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
sql_inj = split(sql_injdata,"|")

if request.querystring<>"" then
for each sql_get in request.querystring
for sql_data=0 to ubound(sql_inj)
if instr(request.querystring(sql_get),sql_inj(sql_data))>0 then
response.write "<script language=****>alert('sql通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入!');history.back(-1)</script>"
response.end
end if
next
next
end if
这样我们就实现了get请求的注入的拦截,但是我们还要过滤post请求,所以我们还得继续考虑request.form,这个也是以数组形式存在的,,我们只需要再进一次循环判断即可。代码如下
if request.form<>"" then
for each sql_post in request.form
for sql_data=0 to ubound(sql_inj)
if instr(request.form(sql_post),sql_inj(sql_data))>0 then
response.write "<script language=****>alert('sql通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入! ');history.back(-1)</cript>"
response.end
end if
next
next
end if
好了大功告成,,我们已经实现了get和post请求的信息拦截,,你只需要在conn.asp之类的打开数据库文件之前引用这个页面即可。放心的继续开发你的程序,,不用再考虑是否还会受到sql注入攻击。难道不是么?

-------------------------------------------------------------
    ' NB联盟防注入函数 ReqNum / ReqStr
    '---------------------------------------------------------------
    Function ReqNum ( StrName )
        ReqNum = Request ( StrName )
        if Not isNumeric ( ReqNum ) then
            Response.Write "输入错误"
            Response.End
        End if
    End Function

    Function ReqStr ( StrName )
        ReqStr = Replace ( Request(StrName), "'", "''" )
    End Function


[本日志由 zhang981322 于 2011-04-14 06:00 PM 编辑]

在本网站提供显示的任何文字内容及图片仅供学习研究参考之用,若有觉的侵犯了您的合法权益,请联系删除!
Copyright@zg126.net all rights reserved 2010-2016