防范SQL注入攻击的新办法

2016-01-29 15:49 5 1 收藏

防范SQL注入攻击的新办法,防范SQL注入攻击的新办法

【 tulaoshi.com - SQLServer 】

近段时间由于修改一个ASP程序(有SQL注入漏洞),在网上找了很多相关的一些防范办法,都不近人意,所以我将现在网上的一些方法综合改良了一下,写出这个ASP函数,供大家参考。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/sqlserver/)

Function SafeRequest(ParaName)
Dim ParaValue
ParaValue=Request(ParaName)
if IsNumeric(ParaValue) = True then
SafeRequest=ParaValue
exit Function
elseIf Instr(LCase(ParaValue),"select ") 0 or Instr(LCase(ParaValue),"insert ") 0 or Instr(LCase(ParaValue),"delete from") 0 or Instr(LCase(ParaValue),"count(") 0 or Instr(LCase(ParaValue),"drop table") 0 or Instr(LCase(ParaValue),"update ") 0 or Instr(LCase(ParaValue),"truncate ") 0 or Instr(LCase(ParaValue),"asc(") 0 or Instr(LCase(ParaValue),"mid(") 0 or Instr(LCase(ParaValue),"char(") 0 or Instr(LCase(ParaValue),"xp_cmdshell") 0 or Instr(LCase(ParaValue),"exec master") 0 or Instr(LCase(ParaValue),"net localgroup administrators") 0  or Instr(LCase(ParaValue)," and ") 0 or Instr(LCase(ParaValue),"net user") 0 or Instr(LCase(ParaValue)," or ") 0 then
 Response.Write "<script language='javascript'"
 Response.Write "alert('非法的请求!');"  '发现SQL注入攻击提示信息
 Response.Write "location.href='http://www.wz114.com/';"  '发现SQL注入攻击转跳网址
 Response.Write "<script"
 Response.end
else
SafeRequest=ParaValue
End If
End function

使用SafeRequest函数替换你的Request

可以防范所有的SQL注入攻击,如果还有什么问题请与我联系

Email:ruixing123@hotmail.com

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/sqlserver/)

来源:http://www.tulaoshi.com/n/20160129/1496541.html

延伸阅读
标签: SQLServer
 MSSQL注入通杀,只要有注入点就有系统权限  不知道大家看过这篇文章没有,可以在db_owner角色下添加SYSADMIN帐号,这招真狠啊,存在MSSQL注射漏洞的服务器又要遭殃了。方法主要是利用db_owner可以修改sp_addlogin和sp_addsrvrolemember这两个存储过程,饶过了验证部分。具体方法如下:先输入drop procedure sp_addlogi...
有文章还说注入式攻击还会有“第三波”攻击潮,到时候会更加难以察觉,连微软的大佬都跑出来澄清说与微软的技术与编码无关,微软为此还专门推出了三个检测软件,那么这个SQL注入式攻击的漏洞究竟是怎么造成的呢? 正如微软的大佬所说的,是由于网站程序的开发人员编码不当造成的,不光是ASP、ASP.NET,也包括JSP、PHP等技术,受影响的也不仅仅...
标签: PHP
  PHP与SQL注入攻击[二] Magic Quotes 上文提到,SQL注入主要是提交不安全的数据给数据库来达到攻击目的。为了防止SQL注 入攻击,PHP自带一个功能可以对输入的字符串进行处理,可以在较底层对输入进行安全 上的初步处理,也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc 选项启用,那么输入的字符串中的单引号,...
标签: ASP
  SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就...
标签: PHP
  Haohappy http://blog.csdn.net/Haohappy2004 SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么非常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。下面来谈谈SQL注入攻击是如何实现的,又如何防范。 ...

经验教程

35

收藏

64
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部