、ASP/SQL语句注入:在多都是利用网页没有对提交的数据进行过滤而直接带入数据库!
防:注入语句大多有如下字符: , % & = ; > < 来构成SQL语句!
注意:我们要作的是对写入数据库中的每一个字段都要作过滤!是每一个,千万不怕麻烦!提供如下过滤语句!
****************************************************
if insp(accountname,"")<>0 or insp(accountname,";")<>0 or insp(accountname,"&")<>0 or insp(accountname,">")<>0 or insp(accountname,",")<>0 or insp(accountname,"=")<>0 or insp(accountname,"%")<>0 then
response.write "<script language=javascript>alert(\n\n***********提示***********\n\n1、所输入的数据包含非法字符!\n\n5、请点击确定返回!);history.back()</script>"
response.end
end if
****************************************************
把accountname改成需要过滤字段就行了!有多个字段就要多少个如上的判断语句!
2、异地表单提交!(某此人用来突破原网页的种种限制)
防:禁止异地表单提交!在你的数据库连接文件(conn.asp)加入如下判断语句!
<%
server_v1=Csp(Request.ServerVariables("HTTP_REFERER"))
server_v2=Csp(Request.ServerVariables("SERVER_NAME"))
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "
<p><table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450>"
response.write "<p><td style=font:9pt Verdana>"
response.write "你提交的路径有误,禁止从站点外部提交数据请不要乱改参数!"
response.write "</td></p></table></p>"
response.end
end if
%>
****************************************************************************
话不多说!已免一不小心又给某此人算落一番!祝各位一路好走....愿有些人好自为知!
