防范SQL注入攻擊的新辦法

2024-07-21 02:07:30

字體：大中小

來源：轉載

供稿：網友

近段時間由于修改一個asp程序（有sql注入漏洞），在網上找了很多相關的一些防范辦法，都不近人意，所以我將現在網上的一些方法綜合改良了一下，寫出這個asp函數，供大家參考。

function saferequest(paraname)
dim paravalue
paravalue=request(paraname)
if isnumeric(paravalue) = true then
saferequest=paravalue
exit function
elseif instr(lcase(paravalue),"select ") > 0 or instr(lcase(paravalue),"insert ") > 0 or instr(lcase(paravalue),"delete from") > 0 or instr(lcase(paravalue),"count(") > 0 or instr(lcase(paravalue),"drop table") > 0 or instr(lcase(paravalue),"update ") > 0 or instr(lcase(paravalue),"truncate ") > 0 or instr(lcase(paravalue),"asc(") > 0 or instr(lcase(paravalue),"mid(") > 0 or instr(lcase(paravalue),"char(") > 0 or instr(lcase(paravalue),"xp_cmdshell") > 0 or instr(lcase(paravalue),"exec master") > 0 or instr(lcase(paravalue),"net localgroup administrators") > 0 or instr(lcase(paravalue)," and ") > 0 or instr(lcase(paravalue),"net user") > 0 or instr(lcase(paravalue)," or ") > 0 then
response.write "<script language='javascript'>"
response.write "alert('非法的請求!');" '發現sql注入攻擊提示信息
response.write "location.發現sql注入攻擊轉跳網址
response.write "<script>"
response.end
else
saferequest=paravalue
end if
end function

使用saferequest函數替換你的request

可以防范所有的sql注入攻擊，如果還有什么問題請與我聯系

email:[email protected]

上一篇：數據庫系統工程師備考的幾點技巧

下一篇：T-SQL: 讀取磁盤文件