1. 爱易网页
  2. ASP教程
  3. 如何防止SQL注入

如何防止SQL注入

日期:2010-03-01  浏览次数:20858 次

主要是防asp的几个地方:
一、地址栏参数注入,就是用request.querystring取得值的这个
二、表单参数注入,就是用request.form取得值的这个
三、cookies  
其实可以看成一个理儿,就是能输入值,能交互的让用户输入的地方都得做一下防。

做一个函数,截取这些地方提交的值,与一个数组(里面放着要过滤或检查的敏感字符)做一下对比

再献上我的一个过滤函数

以下是引用片段:
Function ChkStr(Str)
    if Isnull(Str) then
        ChkStr = ""
        exit Function 
    End if
    Str = Replace(Str,Chr(0),"", 1, -1, 1)
    Str = Replace(Str, """", """, 1, -1, 1)
    Str = Replace(Str,"<","<", 1, -1, 1)
    Str = Replace(Str,">",">", 1, -1, 1) 
    Str = Replace(Str, "script", "script", 1, -1, 0)
    Str = Replace(Str, "SCRIPT", "SCRIPT", 1, -1, 0)
    Str = Replace(Str, "Script", "Script", 1, -1, 0)
    Str = Replace(Str, "script", "Script", 1, -1, 1)
    Str = Replace(Str, "object", "object", 1, -1, 0)
    Str = Replace(Str, "OBJECT", "OBJECT", 1, -1, 0)
    Str = Replace(Str, "Object", "Object", 1, -1, 0)
    Str = Replace(Str, "object", "Object", 1, -1, 1)
    Str = Replace(Str, "applet", "applet", 1, -1, 0)
    Str = Replace(Str, "APPLET", "APPLET", 1, -1, 0)
    Str = Replace(Str, "Applet", "Applet", 1, -1, 0)
    Str = Replace(Str, "applet", "Applet", 1, -1, 1)
    Str = Replace(Str, "[", "[")
    Str = Replace(Str, "]", "]")
    Str = Replace(Str, "=", "=", 1, -1, 1)
    Str = Replace(Str, "’", "'", 1, -1, 1)
    Str = Replace(Str, "select", "select", 1, -1, 1)
    Str = Replace(Str, "execute", "execute", 1, -1, 1)
    Str = Replace(Str, "exec", "exec", 1, -1, 1)
    Str = Replace(Str, "join", "join", 1, -1, 1)
    Str = Replace(Str, "union", "union", 1, -1, 1)
    Str = Replace(Str, "where", "where", 1, -1, 1)
    Str = Replace(Str, "insert", "insert", 1, -1, 1)
    Str = Replace(Str, "delete",&n

相关资料更多>

  1. T-SQL关键字集锦
  2. ASPUPLOAD上传错误:外部对象中发生了可捕获的错误(C06D007E)
  3. javascript变量有关问题
  4. dreamweaver中<textarea>这个标签的这个wrap= VIRTUAL是什么意思?该怎么处理
  5. 一拖三下拉菜单(js+xml+asp)_ASP XML教程_ASP教程
  6. 验证码在服务器端判断时的有关问题
  7. asp.net 饼形表格
  8. 怎样限制调用文章题目的长度?解决方法
  9. ASP编程入门进阶(十九):ASP技巧累加(二)