<%
call sql_into_check() '呼叫ql防注入**2008-05-14 kz
'***************==sql防注入***************************====2008-05-14 kz
sub sql_into_check()
dim sql_injdata
sql_injdata = "'|;|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"'過濾字元
sql_inj = split(sql_injdata,"|")
if pagename()="***.asp" or pagename()="***1.asp" or pagename()="***2.asp" then
'路過else
'過濾涵數2008-05-15 by kz
function checknumeric(number)
if not isnumeric(number) then
checknumeric = 0
else
checknumeric = number
end if
end function
function checkstr(str)
if isnull(str) then
checkstr = ""
exit function
end if
str = replace(str,chr(0),"")
checkstr = replace(str,"'","''")
end function
public function pagename()
dim url,urlparts
url = request.servervariables("script_name")
urlparts = split(url,"/")
pagename = urlparts(ubound(urlparts))
end function
%>
防SQL注入
這段 有好處也有壞處,用的時候得小心,搞不好就會跳進錯誤 dimsql injdata sql injdata and exec insert select delete update chr mid master truncate char declare sql inj split sql in...
防SQL注入
1.必須認定使用者輸入的資料都是不安全的 使用者輸入的資料進行過濾處理 if preg match w get username matches else 讓我們看下在沒有過濾特殊字元時,出現的sql情況 設定 name 中插入了我們不需要的sql語句 name qadir delete from ...
防SQL注入
與資料庫互動的 web 應用程式中最嚴重的風險之一 sql 注入攻擊。sql 注入是應用程式開發人員未預期的把 sql 傳入到應用程式的過程,它由於應用程式的糟糕設計而使攻擊成為可能,並且只有那些直接使用使用者提供的值構建 sql 語句的應用程式才會受影響。sql 語句通過字串的構造技術動態建立,文...