看着众网友被”黑“心头真不是滋味
、ASP/SQL语句注入:在多都是利用网页没有对提交的数据进行过滤而直接带入数据库!
防:注入语句大多有如下字符: , % & = ; > < 来构成SQL语句!
注意:我们要作的是对写入数据库中的每一个字段都要作过滤!是每一个,千万不怕麻烦!提供如下过滤语句!
****************************************************
if instr(accountname,"")<>0 or instr(accountname,";")<>0
or instr(accountname,"&")<>0 or instr(accountname,">")<>0
or instr(accountname,",")<>0 or instr(accountname,"=")<>0
or instr(accountname,"%")<>0 then
response.write "<script language=javascript>alert(\n\n***********提示***********\n\n1、所输入的数据包含非法字符!\n\n5、请点击确定返回!);history.back()</script>"
response.end
end if
****************************************************
把accountname改成需要过滤字段就行了!有多个字段就要多少个如上的判断语句!
2、异地表单提交!(某此人用来突破原网页的种种限制)
防:禁止异地表单提交!在你的数据库连接文件(conn.asp)加入如下判断语句!
<%
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "
<center><table border=1 cellpadding=20 bordercolor=black
bgcolor=#EEEEEE width=450>"
response.write "<tr><td style=font:9pt Verdana>"
response.write "你提交的路径有误,禁止从站点外部提交数据请不要乱改参数!"
response.write "</td></tr></table></center>"
response.end
end if
%>
****************************************************************************
话不多说!已免一不小心又给某此人算落一番!祝各位一路好走....愿有些人好自为知!
|
