因为在改进公司的一套ASP代码,所以考虑了一下防注入的问题。

参考了网上的几处代码,进行了修改和整合,都转换成小写再处理。

还考虑了script注入。

代码如下:

'Asp防注入代码

SQL_injdata =lcase(":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'")

SQL_injdata =SQL_injdata&lcase("|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|script")

SQL_inj = split(SQL_Injdata,"|")

if Request.QueryString<>"" then

    For Each SQL_Get In Request.QueryString

        For SQL_Data= To Ubound(SQL_inj)

            if not IsNumeric(Request.QueryString(SQL_Get)) then

                if instr(lcase(Request.QueryString(SQL_Get)),Sql_Inj(Sql_DATA))> Then

                    Response.Write "对不起,非法URL地址请求!"

                    Response.end

                end if

            end if

        next

    next

end if

if Request.Form<>"" then

    For Each Sql_Post In Request.Form

        For SQL_Data= To Ubound(SQL_inj)

            if instr(lcase(Request.Form(Sql_Post)),Sql_Inj(Sql_DATA))> Then

                Response.Write "对不起,非法数据提交!"

                Response.end

            end if

        next

    next

end if

if Request.Cookies<>"" then

    For Each Sql_Post In Request.Cookies

        For SQL_Data= To Ubound(SQL_inj)

            if instr(lcase(Request.Cookies(Sql_Post)),Sql_Inj(Sql_DATA))> Then

                Response.Write "对不起,非法URL地址请求!"

                Response.end

            end if

        next

    next

end if

'post过滤sql注入代防范及HTML防护开始

function nosql(str)

    if not isnull(str) then

        str=trim(str)

        str=replace(str,";",";") '分号

        str=replace(str,"'","'") '单引号

        str=replace(str,"""","&quot;") '双引号

        str=replace(str,"chr(9)","&nbsp;") '空格

        str=replace(str,"chr(10)","<br>") '回车

        str=replace(str,"chr(13)","<br>") '回车

        str=replace(str,"chr(32)","&nbsp;") '空格

        str=replace(str,"chr(34)","&quot;") '双引号

        str=replace(str,"chr(39)","'") '单引号

        str=Replace(str, "script", "&#115cript")'jscript

        str=replace(str,"<","&lt;") '左<

        str=replace(str,">","&gt;") '右>

        str=replace(str,"(","(") '左(

        str=replace(str,")",")") '右)

        str=replace(str,"--","--") 'SQL注释符

        str=replace(str,"net user","")

        str=replace(str,"xp_cmdshell","")

        str=replace(str,"/add","")

        str=replace(str,"exec%20master.dbo.xp_cmdshell","")

        str=replace(str,"net localgroup administrators","")

        str=replace(str,"select","")

        str=replace(str,"count","")

        str=replace(str,"asc","")

        str=replace(str,"char","")

        str=replace(str,"mid","")

        str=replace(str,":","")

        str=replace(str,"insert","")

        str=replace(str,"delete","")

        str=replace(str,"drop","")

        str=replace(str,"truncate","")

        str=replace(str,"from","")

        str=replace(str,"%","")

        nosql=str

    end if

end function

参考:

http://itlobo.com/articles/1123.html

http://www.aisenan.com/hack/aspfzrdm_fcookiezrdm_13.html

http://www.mkshy.com/networkTechnology/preventInjection.shtml

ASP防注入的更多相关文章

  1. asp防注入安全问题

    一.古老的绕验证漏洞虽然古老,依然存在于很多小程序之中,比如一些企业网站的后台,简单谈谈.这个漏洞出现在没有对接受的变量进行过滤,带入数据库判断查询时,造成SQL语句的逻辑问题.例如以下代码存在问题: ...

  2. SQL防注入程序 v1.0

    /// ***************C#版SQL防注入程序 v1.0************ /// *使用方法: /// 一.整站防注入(推荐) /// 在Global.asax.cs中查找App ...

  3. sql 防注入 维基百科

    http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A SQL攻击(SQL inj ...

  4. 简单实用的PHP防注入类实例

    这篇文章主要介绍了简单实用的PHP防注入类实例,以两个简单的防注入类为例介绍了PHP防注入的原理与技巧,对网站安全建设来说非常具有实用价值,需要的朋友可以参考下   本文实例讲述了简单实用的PHP防注 ...

  5. [转]PDO防注入原理分析以及使用PDO的注意事项

    原文:http://zhangxugg-163-com.iteye.com/blog/1835721 好文章不得不转. 我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答 ...

  6. SQL防注入程序

    1.在Global.asax.cs中写入: protected void Application_BeginRequest(Object sender,EventArgs e){      SqlIn ...

  7. PDO防注入原理分析以及使用PDO的注意事项

    我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下两个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特 ...

  8. php防注入留言板(simple)

    新手学php,试手案例便是留言板.以前未连接数据库时,我是直接将用户输入的留言写入到一个txt,然后再从txt读取显示(~.~别鄙视). 最近学习了php访问MySQL数据库的一些知识,重写了一下留言 ...

  9. 万能写入sql语句,并且防注入

    通过perpare()方法和检查字段防sql注入. $pdo=new PDO('mysql:host=localhost;dbname=scms', 'root' ); $_POST=array('t ...

随机推荐

  1. parentNode(返回指定节点的父节点。)

    <html> <head> <meta http-equiv="Content-Type" content="text/html; char ...

  2. FTP出现211-Extension supported 停止的解决方法

    FTP出问题211-Extension supported 停止的解决方法 FTP出问题211-Extension supported 停止的解决方法 FLASHFXP FTP上传登录时提示Exten ...

  3. django - 替换admin的textarea为 富文本

    1. 安装这个:https://github.com/pydanny/django-wysiwyg 2. 下载你希望的 编辑器,到你的指定路径STATIC_ROOT [详细后面补充]

  4. Darwin Streaming Server 安裝操作備忘

    Darwin Streaming Server 安裝操作 Darwin Streaming Server是蘋果公司推出的開放源碼.跨平台多媒體串流伺服器, 提供音樂 (mp3) 與影音 (3gp.mp ...

  5. 最简单的视音频播放示例8:DirectSound播放PCM

    本文记录DirectSound播放音频的技术.DirectSound是Windows下最常见的音频播放技术.目前大部分的音频播放应用都是通过DirectSound来播放的.本文记录一个使用Direct ...

  6. poj 2553 The Bottom of a Graph

    求解的是有向图中满足“自己可达的顶点都能到达自己”的顶点个数如果强连通分量中某个顶点,还能到达分量外的顶点,则该连通分量不满足要求// 因此,本题要求的是将强连通分量缩点后所构造的新图中出度为0的顶点 ...

  7. date.plugin.js 日期插件

    //定义命名空间 var DatePlugin; if (!DatePlugin) DatePlugin = {}; /*整理时间:2015-05-28*/ var defaultFormat = & ...

  8. (原创)LAMP教程4-用VirtualBox安装64位的centos6.4

    (原创)LAMP教程4-用VirtualBox安装64位的centos6.4 好的,今天就要开始正式的讲一些有营养的东西了,是的,没有错就是讲如何用VirtualBox安装64位的centos6.4 ...

  9. Tableau学习笔记之四

    创建基本变量图表: 1.可以创建表格,条形图,饼图,直方图,线图,堆积条形图,箱线图等. 2.根据自己选择的变量和维度的数量,Tableau中的“智能显示”会相应的提醒,可以绘制哪些图形,可以绘制的一 ...

  10. 如果你喜欢Python 那么你不得不知的几个开源项目

    1.Trac Trac拥有强大的bug管理 功能,并集成了Wiki 用于文档管理.它还支持代码管理工具Subversion ,这样可以在 bug管理和Wiki中方便地参考程序源代码. Trac有着比较 ...