、ASP/SQL语句注入:在多都是利用网页没有对提交的数据进行过滤而直接带入数据库!
防:注入语句大多有如下字符: , % & = ; > < 来构成SQL语句!
注意:我们要作的是对写入数据库中的每一个字段都要作过滤!是每一个,千万不怕麻烦!提供如下过滤语句!
****************************************************
if instr(accountname,"")<>0 or instr(accountname,";")<>0 or instr(accountname,"&")<>0 or instr(accountname,">")<>0 or instr(accountname,",")<>0 or instr(accountname,"=")<>0 or instr(accountname,"%")<>0 then
response.write ""
response.end
end if
****************************************************
把accountname改成需要过滤字段就行了!有多个字段就要多少个如上的判断语句!
2、异地表单提交!(某此人用来突破原网页的种种限制)
防:禁止异地表单提交!在你的数据库连接文件(conn.asp)加入如下判断语句!
<%
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "
"
response.write ""
response.write "你提交的路径有误,禁止从站点外部提交数据请不要乱改参数!"
response.write " | "
response.end
end if
%>
****************************************************************************
话不多说!已免一不小心又给某此人算落一番!祝各位一路好走....愿有些人好自为知!
免责声明:57sf.com登载此文出于传递更多信息之目的,并不意味着57sf.com赞同其观点或证实其描述
|
