 |
|
|
 首页 |
名片设计 CorelDRAW Illustrator AuotoCAD Painter 其他软件 Photoshop Fireworks Flash |
|
函数很简朴, 主要是针对字符串和数字两种类型的传入数据分别进行了处理,详细用法: 字符类型的 strUsername = CheckInput(Request(“username“),“s“) 数字类型的 ID = CheckInput(Request(“id“),“i“) 下面是函数 Function CheckInput(str,strType) \\\'函数功能:过滤字符参数中的单引号,对于数字参数进行判定,假如不是数值类型,则赋值0 \\\'参数意义: str ---- 要过滤的参数 \\\' strType ---- 参数类型,分为字符型和数字型,字符型为"s",数字型为"i" Dim strTmp strTmp = "" If strType ="s" Then strTmp = Replace(Trim(str),"\\\'","\\\'\\\'") ElseIf strType="i" Then If isNumeric(str)=False Then str="0" strTmp = str Else strTmp = str End If CheckInput = strTmp End Function SQL Injection的危害是很大的,比如对于SQL Server,可以创建、删除数据库,执行系统命令等等, 如drop table tbl_name, execute master.dbo.xp_cmdshell "command"所以很多人写的函数就是拼命的去过滤这些可能引起危害的要害词,比如drop ,分号,and,exe,mid等等,罗列了一大堆。 其实,尽可以不必那么繁琐,非要把简朴的事情复杂化。 对于过滤,ASP中只要针对字符型和数字型分别处理就可以了, 字符型的,把单引号转变成两个单引号 strTmp = Replace(Trim(str),"\\\'","\\\'\\\'") 数字型的,就判定是否能够转变成数字型的 ,用 isNumeric函数 现在网上说的能够绕过单引号的攻击,其实是针对数字类型的,假如对于过滤了单引号的字符型,还有办法绕过,那就没得玩了........ 返回类别: 教程 上一教程: 利用ASP和ACCESS数据库制作局域网网上答题系统 下一教程: ASP与数据库应用(给初学者) 您可以阅读与"一个ASP函数,解决SQL INJECTION漏洞"相关的教程: · 一个asp函数, 解决SQL Injection漏洞 · 一个用C#写的扫描ASP源码漏洞的应用程序(续) · 一个改进的ASP生成SQL 命令字符串的类 · 一个比较实用的ASP函数集合类 · asp中的一个希奇的函数 |
  |
| 快精灵印艺坊 版权所有 |
首页 会员中心在线印刷在线编辑付款方式索取样品设计指南连锁门店
|
||
