| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛
欢迎加入我们,一同切磋技术
用户名:   
 
密 码:  
共有 1637 人关注过本帖
标题:网站再次被人用SQL注入,在线求助!
只看楼主 加入收藏
chaoshi168
Rank: 1
等 级:新手上路
帖 子:4
专家分:0
注 册:2008-11-29
收藏
 问题点数:0 回复次数:10 
网站再次被人用SQL注入,在线求助!
已经在conn.asp中加入防注入:

dim sql_injdata,Sql_Inj,SQL_Get,Sql_DATA
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|master|truncate|declare|sysobjects"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Lcase(Request.QueryString(SQL_Get)),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=JavaScript>alert('非法注入!');history.back(-1)</Script>"
Response.end
end if
next
Next
End If

还是被注入了,请指点!!!
搜索更多相关主题的帖子: SQL注入 
2008-11-29 21:03
谁与争疯
Rank: 16Rank: 16Rank: 16Rank: 16
来 自:海南省
等 级:版主
威 望:191
帖 子:15071
专家分:17513
注 册:2007-4-22
收藏
得分:0 
把英文的.和''和""都滤掉 ????

论坛是我家灌水靠大家
2008-11-29 21:16
yms123
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:209
帖 子:12488
专家分:19042
注 册:2004-7-17
收藏
得分:0 
以下是引用chaoshi168在2008-11-29 21:03的发言:

已经在conn.asp中加入防注入:

dim sql_injdata,Sql_Inj,SQL_Get,Sql_DATA
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|master|truncate|declare|sysobjects"
SQL_inj = split(SQL_Inj ...

加入POST提交的数据验证,杜绝从表单注入。
2008-11-30 15:41
chaoshi168
Rank: 1
等 级:新手上路
帖 子:4
专家分:0
注 册:2008-11-29
收藏
得分:0 
有QQ吗?
楼上的版主,有QQ号吗?我加了好像也不行了...
2008-12-01 11:34
孤独冷雨
Rank: 10Rank: 10Rank: 10
来 自:安徽滁州
等 级:贵宾
威 望:23
帖 子:1247
专家分:1909
注 册:2007-6-4
收藏
得分:0 
二楼说的也是不管用的!
我把所有的键盘上字符全给弄掉了都不行!!批量向数据库注入没有商量!

[[it] 本帖最后由 孤独冷雨 于 2008-12-1 16:14 编辑 [/it]]

这里有男女系列成人用品,有时间兄弟们来看一看.
51za.
2008-12-01 16:12
chaoshi168
Rank: 1
等 级:新手上路
帖 子:4
专家分:0
注 册:2008-11-29
收藏
得分:0 
以下是引用孤独冷雨在2008-12-1 16:12的发言:

二楼说的也是不管用的!
我把所有的键盘上字符全给弄掉了都不行!!批量向数据库注入没有商量!


楼主怎么解决的?我现在就是别人一天黑我一次.我要疯狂了.
2008-12-01 22:41
lackyking
Rank: 3Rank: 3
等 级:新手上路
威 望:6
帖 子:186
专家分:0
注 册:2008-7-1
收藏
得分:0 
我觉得还是验证表单内容比较好
程序代码:
Public Function IsValidStr(ByVal Str)
IsValidStr = False
Str = Trim(Str)
If IsNull(Str) Or Str = "" Then Exit Function
On Error Resume Next
ForbidStr = "and|chr|:|=|%|&|$|#|@|+|-|*|/|\|<|>|;|,|^|]|[|)|(|insert|into|update|delete|fuck|shit|select|"
ForbidStr = ForbidStr & Chr(34) & "|" & Chr(39) & "|" & Chr(9)
ForbidStr = Split(ForbidStr, "|")
For i=0 To UBound(ForbidStr)
If InStr(1,Str, ForbidStr(i),1) > 0 Then IsValidStr = False : Exit Function
Next
IsValidStr = True
End Function

http://www.,木公博客
2008-12-02 09:10
关小彤
Rank: 1
等 级:新手上路
帖 子:114
专家分:0
注 册:2006-12-7
收藏
得分:0 
看看这样行不行,把这段代码写在Conn.asp中
<%Sub F_Sql()
    Dim Q_Post,Q_Get,Q_In,Q_Inf,i
    'Q_In = "'|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare"
    Q_In = "'|exec|insert|select|delete|update|*|chr|truncate|declare"
    
    Q_Inf = Split(Q_In , "|")
    
    If Request.Form <> "" Then
        For Each Q_Post In Request.Form
            For i = 0 To Ubound(Q_Inf)
                If InStr(LCase(Request.Form(Q_Post)) , Q_Inf(i)) <> 0 Then
                    Response.Write("请不要在参数中包含非法字符尝试注入")
                    Response.End()
                End If
            Next
        Next
    End If
    
    If Request.QueryString <> "" Then
        For Each Q_Get In Request.QueryString
            For i = 0 To Ubound(Q_Inf)
                If InStr(LCase(Request.QueryString(Q_Get)) , Q_Inf(i)) <> 0 Then
                    Response.Write("请不要在参数中包含非法字符尝试注入")
                    Response.End()
                End If
            Next
        Next
    End If
    
End Sub

F_Sql()
%>

[[it] 本帖最后由 关小彤 于 2008-12-3 09:36 编辑 [/it]]

2008-12-03 09:35
徐强
Rank: 2
等 级:新手上路
威 望:3
帖 子:72
专家分:0
注 册:2007-3-30
收藏
得分:0 
楼上的.
2008-12-03 09:37
chaoshi168
Rank: 1
等 级:新手上路
帖 子:4
专家分:0
注 册:2008-11-29
收藏
得分:0 
以下是引用关小彤在2008-12-3 09:35的发言:

看看这样行不行,把这段代码写在Conn.asp中
 


谢谢,加过了,还是不行!

还有其它的可能吗?
2008-12-03 22:42
快速回复:网站再次被人用SQL注入,在线求助!
数据加载中...
 
   



关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.017716 second(s), 9 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved