方法1: Replace过滤字符

解决方法:查找login.asp下的<from找到下边的类似username=request.Form(”name”)

pass=request.Form(”pass”)
修改为:username=Replace(request.Form(”name”), “’”, “’’”)

pass=Replace(request.Form(”pass”), “’”, “’’”)
语法是屏蔽’和’’字符来达到效果.

方法2:在conn.asp 内引入safe.asp文件
注意:前提是登陆页面有引入conn.asp文件
把以下代码保存为safe.asp

程序代码

<%

Dim Query_Badword,Form_Badword,i,Err_Message,Err_Web,name

Err_Message = 3

Err_Web = “safe.htm”

’出错时转向的页面

Query_Badword=”’|and|select|update|chr|delete|%20from|;|insert|mid|master.|set|chr(37)|=”

’在这部份定义get非法参数,使用”|”号间隔

Form_Badword=”’|(|)|;|=”

’在这部份定义post非法参数,使用”|”号间隔

On Error Resume Next

if request.QueryString”" then

Chk_badword=split(Query_Badword,”|”)

FOR EACH Query_Name IN Request.QueryString

for i=0 to ubound(Chk_badword)

If Instr(LCase(request.QueryString(Query_Name)),Chk_badword(i))0 Then

Select Case Err_Message

Case “1″

Response.Write “alert(’传参错误!参数 “&name&” 的值中包含非法字符串! 请不要在参数中出现:and update delete ; insert mid master 等非法字符!’);window.close();”

Case “2″

Response.Write “location.href=’”&Err_Web&”’”

Case “3″

Response.Write “alert(’传参错误!参数 “&name&”的值中包含非法字符串! 请不要在参数中出现:and update delete ; insert mid master 等非法字符!’);location.href=’”&Err_Web&”’;”

End Select

Response.End

End If

NEXT

NEXT

End if

if request.form”" then

Chk_badword=split(Form_Badword,”|”)

FOR EACH name IN Request.Form

for i=0 to ubound(Chk_badword)

If Instr(LCase(request.form(name)),Chk_badword(i))0 Then

Select Case Err_Message

Case “1″

Response.Write “alert(’出错了!表单 “&name&” 的值中包含非法字符串! 你的非法操作已记录,请马上停止非法行为!’);window.close();”

Case “2″

Response.Write “location.href=’”&Err_Web&”’”

Case “3″

Response.Write “alert(’出错了!参数 “&name&”的值中包含非法字符串! 谢谢您光临!,请停止非法行为!’);location.href=’”&Err_Web&”’;”

End Select

Response.End

End If

NEXT

NEXT

end if

%>

案例:http://www.wooyun.org/bugs/wooyun-2010-024354

大学站防SQL注入代码(ASP版)的更多相关文章

  1. C#防SQL注入代码的实现方法

    对于网站的安全性,是每个网站开发者和运营者最关心的问题.网站一旦出现漏洞,那势必将造成很大的损失.为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位. 下面说下网站防注入的几点 ...

  2. 防SQL注入代码(ASP版)

    <% Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx '---定义部份 头------ Fy_Cl = 1 '处理方式:1=提示信息,2=转向页面, ...

  3. php防sql注入过滤代码

    防止sql注入的函数,过滤掉那些非法的字符,提高sql安全性,同时也可以过滤XSS的攻击. function filter($str) { if (empty($str)) return false; ...

  4. Java 防SQL注入过滤器(拦截器)代码

    原文出自:https://blog.csdn.net/seesun2012 前言 浅谈SQL注入:        所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符 ...

  5. Sqlparameter防SQL注入

    一.SQL注入的原因 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 ...

  6. .Net防sql注入的方法总结

    #防sql注入的常用方法: 1.服务端对前端传过来的参数值进行类型验证: 2.服务端执行sql,使用参数化传值,而不要使用sql字符串拼接: 3.服务端对前端传过来的数据进行sql关键词过来与检测: ...

  7. 【荐】PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特 ...

  8. nginx服务器防sql注入/溢出攻击/spam及禁User-agents

    本文章给大家介绍一个nginx服务器防sql注入/溢出攻击/spam及禁User-agents实例代码,有需要了解的朋友可进入参考. 在配置文件添加如下字段即可  代码如下 复制代码 server { ...

  9. 防SQL注入:生成参数化的通用分页查询语句

    原文:防SQL注入:生成参数化的通用分页查询语句 前些时间看了玉开兄的“如此高效通用的分页存储过程是带有sql注入漏洞的”这篇文章,才突然想起某个项目也是使用了累似的通用分页存储过程.使用这种通用的存 ...

随机推荐

  1. mysql数据库默认存放位置修改

    windows:   方式一 使用符号连接 假设你的mysql安装在c:\mysql,数据目录就是c:\mysql\data 现在你想在D 盘建立一个名为foo的数据库,路径为d:\data\foo. ...

  2. 查找Linux系统中的占用磁盘空间

    目录的来查看空间占用情况 du -sh /* 先看看根目录下面 让文件夹下的文件让文件按大小排序 方法一:# ls -lhSl 长格式显示,h human readable模式,大小单位为M,G等易读 ...

  3. Xcode插件VVDocumenter Alcatraz KSImageNamed等安装

    今天安装VVDocumenter,总是不起作用...所以用Alcatraz...下面介绍下Alcatraz 一.Alcatraz Alcatraz 是一款 Xcode的插件管理工具,可以用来管理XCo ...

  4. Java产生随机数

    前言: 每一门程序设计语言基本都具有一个随机函数,而Java当中产生随机数的方式不拘一格.而且其中的Random工具类还有着更深入的应用,但本文仅对比3种产生随机数的方式,就不深入扩展分析其内部工具类 ...

  5. Reveal使用步骤

    一.Reveal使用步骤 1.启动Reveal --> Help --> Show Reveal Library in Finder,拖动添加Reveal.framework到工程中. 选 ...

  6. Leetcode 382. Linked List Random Node

    本题可以用reservoir sampling来解决不明list长度的情况下平均概率选择元素的问题. 假设在[x_1,...,x_n]只选一个元素,要求每个元素被选中的概率都是1/n,但是n未知. 其 ...

  7. 【bzoj1433】 ZJOI2009—假期的宿舍

    http://www.lydsy.com/JudgeOnline/problem.php?id=1433 (题目链接) 题意 一个暑假,有人去大学里面探望朋友,有些人回家了,有些人留下了,每个人都要在 ...

  8. vijos2001 xor-sigma

    本文版权归ljh2000和博客园共有,欢迎转载,但须保留此声明,并给出原文链接,谢谢合作. 本文作者:ljh2000作者博客:http://www.cnblogs.com/ljh2000-jump/转 ...

  9. codevs1138 聪明的质监员

    题目描述 Description 小 T 是一名质量监督员,最近负责检验一批矿产的质量.这批矿产共有n 个矿石,从1到n 逐一编号,每个矿石都有自己的重量wi 以及价值vi.检验矿产的流程是:见图   ...

  10. Linux给用户添加sudo权限

    一.linux给用户添加sudo权限: 有时候,linux下面运行sudo命令,会提示类似: xxxis not in the sudoers file.  This incident will be ...