因为在改进公司的一套ASP代码,所以考虑了一下防注入的问题。

参考了网上的几处代码,进行了修改和整合,都转换成小写再处理。

还考虑了script注入。

代码如下:

'Asp防注入代码

SQL_injdata =lcase(":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'")

SQL_injdata =SQL_injdata&lcase("|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|script")

SQL_inj = split(SQL_Injdata,"|")

if Request.QueryString<>"" then

    For Each SQL_Get In Request.QueryString

        For SQL_Data= To Ubound(SQL_inj)

            if not IsNumeric(Request.QueryString(SQL_Get)) then

                if instr(lcase(Request.QueryString(SQL_Get)),Sql_Inj(Sql_DATA))> Then

                    Response.Write "对不起,非法URL地址请求!"

                    Response.end

                end if

            end if

        next

    next

end if

if Request.Form<>"" then

    For Each Sql_Post In Request.Form

        For SQL_Data= To Ubound(SQL_inj)

            if instr(lcase(Request.Form(Sql_Post)),Sql_Inj(Sql_DATA))> Then

                Response.Write "对不起,非法数据提交!"

                Response.end

            end if

        next

    next

end if

if Request.Cookies<>"" then

    For Each Sql_Post In Request.Cookies

        For SQL_Data= To Ubound(SQL_inj)

            if instr(lcase(Request.Cookies(Sql_Post)),Sql_Inj(Sql_DATA))> Then

                Response.Write "对不起,非法URL地址请求!"

                Response.end

            end if

        next

    next

end if

'post过滤sql注入代防范及HTML防护开始

function nosql(str)

    if not isnull(str) then

        str=trim(str)

        str=replace(str,";",";") '分号

        str=replace(str,"'","'") '单引号

        str=replace(str,"""","&quot;") '双引号

        str=replace(str,"chr(9)","&nbsp;") '空格

        str=replace(str,"chr(10)","<br>") '回车

        str=replace(str,"chr(13)","<br>") '回车

        str=replace(str,"chr(32)","&nbsp;") '空格

        str=replace(str,"chr(34)","&quot;") '双引号

        str=replace(str,"chr(39)","'") '单引号

        str=Replace(str, "script", "&#115cript")'jscript

        str=replace(str,"<","&lt;") '左<

        str=replace(str,">","&gt;") '右>

        str=replace(str,"(","(") '左(

        str=replace(str,")",")") '右)

        str=replace(str,"--","--") 'SQL注释符

        str=replace(str,"net user","")

        str=replace(str,"xp_cmdshell","")

        str=replace(str,"/add","")

        str=replace(str,"exec%20master.dbo.xp_cmdshell","")

        str=replace(str,"net localgroup administrators","")

        str=replace(str,"select","")

        str=replace(str,"count","")

        str=replace(str,"asc","")

        str=replace(str,"char","")

        str=replace(str,"mid","")

        str=replace(str,":","")

        str=replace(str,"insert","")

        str=replace(str,"delete","")

        str=replace(str,"drop","")

        str=replace(str,"truncate","")

        str=replace(str,"from","")

        str=replace(str,"%","")

        nosql=str

    end if

end function

参考:

http://itlobo.com/articles/1123.html

http://www.aisenan.com/hack/aspfzrdm_fcookiezrdm_13.html

http://www.mkshy.com/networkTechnology/preventInjection.shtml

ASP防注入的更多相关文章

  1. asp防注入安全问题

    一.古老的绕验证漏洞虽然古老,依然存在于很多小程序之中,比如一些企业网站的后台,简单谈谈.这个漏洞出现在没有对接受的变量进行过滤,带入数据库判断查询时,造成SQL语句的逻辑问题.例如以下代码存在问题: ...

  2. SQL防注入程序 v1.0

    /// ***************C#版SQL防注入程序 v1.0************ /// *使用方法: /// 一.整站防注入(推荐) /// 在Global.asax.cs中查找App ...

  3. sql 防注入 维基百科

    http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A SQL攻击(SQL inj ...

  4. 简单实用的PHP防注入类实例

    这篇文章主要介绍了简单实用的PHP防注入类实例,以两个简单的防注入类为例介绍了PHP防注入的原理与技巧,对网站安全建设来说非常具有实用价值,需要的朋友可以参考下   本文实例讲述了简单实用的PHP防注 ...

  5. [转]PDO防注入原理分析以及使用PDO的注意事项

    原文:http://zhangxugg-163-com.iteye.com/blog/1835721 好文章不得不转. 我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答 ...

  6. SQL防注入程序

    1.在Global.asax.cs中写入: protected void Application_BeginRequest(Object sender,EventArgs e){      SqlIn ...

  7. PDO防注入原理分析以及使用PDO的注意事项

    我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下两个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特 ...

  8. php防注入留言板(simple)

    新手学php,试手案例便是留言板.以前未连接数据库时,我是直接将用户输入的留言写入到一个txt,然后再从txt读取显示(~.~别鄙视). 最近学习了php访问MySQL数据库的一些知识,重写了一下留言 ...

  9. 万能写入sql语句,并且防注入

    通过perpare()方法和检查字段防sql注入. $pdo=new PDO('mysql:host=localhost;dbname=scms', 'root' ); $_POST=array('t ...

随机推荐

  1. 为什么要CGI

    1.微软为什么使用CGI? 微软曾经在不同场合极力推荐它的ASP技术,以取代CGI标准,这对微软当然是有利的,但是对一个网站来说ASP是不是一个明智的选择呢?这是一个值得大家深思熟虑的问题. 因为一旦 ...

  2. jQuery Ajax通用js封装

    第一步:引入jQuery库 <script type="text/javascript" src="<%=path%>/resources/js/jqu ...

  3. cocos2d-x 滚动文字(二)

    http://blog.csdn.net/kuovane/article/details/8131789 首先送上demo,下载地址为:demo下载地址 一,怎么在文字前面空两隔?只需在xml里的文字 ...

  4. UVA 1395 Slim Span (最小生成树,MST,kruscal)

    题意:给一个图,找一棵生成树,其满足:最大权-最小权=最小.简单图,不一定连通,权值可能全相同. 思路:点数量不大.根据kruscal每次挑选的是最小权值的边,那么苗条度一定也是最小.但是生成树有多棵 ...

  5. Xcode中使用svn时,报证书验证错误Error validating server certificate for

    转:http://blog.csdn.net/yhawaii/article/details/7511141 今天使用Xcode自带的svn客户端时,总是连接不上服务器,报如下错误: Error va ...

  6. [Everyday Mathematics]20150202

    设 $f:\bbR^2\to \bbR$ 为连续函数, 且满足条件 $$\bex f(x+1,y)=f(x,y+1)=f(x,y),\quad\forall\ (x,y)\in \bbR^2. \ee ...

  7. 【数据结构和算法】 O(1)时间取得栈中的最大 / 最小元素值

    常数时间取得栈中的元素最大值和最小值,我们可以想到当push的时候比较一下,如果待push元素值小于栈顶元素,则更新min值,最大值亦然. 这样有个问题就是当pop的时候,就没了最大最小值. 于是上网 ...

  8. 【C++11】 lambda表达式

    i.e.int x = 10;int y = 20;int z = [&]{ x = x * x; y = y * y; return x + y;}(); 上面z后面以[]开头的为一个lam ...

  9. 基本输入输出系统BIOS---显示输出

    显示器通过显示适配卡与系统相连, 显示适配卡是显示输出的接口卡,照相的显示器是CGA和EGA,目前的显示适配卡是VGA和TVGA,他们都支持两种显示方式,文本显示和图形显示 在BIOS中提供的显示I/ ...

  10. asp.net MVC 中@Html.Partial,@Html.Action,@Html.RenderPartial,@Html.RenderAction区别

    @Html.Action:需要有对应的Action,并且Action方法有返回值.(注:处理完业务逻辑同时,也需要返回所需值) @{Html.RenderAction}:需要有对应的Action,Ac ...