| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛
欢迎加入我们,一同切磋技术
用户名:   
 
密 码:  
共有 803 人关注过本帖
标题:进来看个问题..
只看楼主 加入收藏
suyongtao
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:33
帖 子:8674
专家分:127
注 册:2004-11-6
结帖率:77.27%
收藏
 问题点数:0 回复次数:19 
进来看个问题..
防SQL注入要过滤哪些字符,,急,谢..
搜索更多相关主题的帖子: 过滤 
2006-12-08 13:48
suyongtao
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:33
帖 子:8674
专家分:127
注 册:2004-11-6
收藏
得分:0 

sql_GetDatas = "'|""|{|}|[|]|<|>|`|~|!|$|%|^|(|)|-|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|or"
sql_PostDatas = "'|""|{|}|[|]|<|>|`|~|!|$|%|^|(|)|-"

'防止Get方法注入
Response.write Request.QueryString
If Request.QueryString<>"" Then
sql_Strs = Split(sql_GetDatas,"|")
For Each sql_FilerStr In Request.QueryString
For i=0 To Ubound(sql_Strs)
if instr(Request.QueryString(sql_FilerStr),sql_Strs(i))>0 Then
Response.Write "<Script Language=javascript>alert('请不要在参数中包含非法字符!');history.back(-1)</Script>"
Response.End
end if
next
Next
End If
'防止Post方法注入
If Request.Form<>"" Then
sql_Strs = Split(sql_PostDatas,"|")
For Each sql_FilerStr In Request.Form
For i=0 To Ubound(sql_Strs)
if instr(Request.Form(sql_FilerStr),sql_Strs(i))>0 Then
Response.Write "<Script Language=javascript>alert('您的输入包含非法字符');history.back(-1)</Script>"
Response.End
end if
next
next
end if
这个管事不?


面朝大海,春暖花开!
2006-12-08 13:50
EdwardLyons
Rank: 1
等 级:新手上路
帖 子:254
专家分:0
注 册:2006-12-8
收藏
得分:0 
select, from, where, update, insert, into, values, in, &lt;, &gt;, %, 等等

遥望辽阔广远的星空,童年的心扉情不自禁敞开,与神秘的宇宙零距离对话。
2006-12-08 13:50
islet
Rank: 12Rank: 12Rank: 12
等 级:贵宾
威 望:89
帖 子:6548
专家分:0
注 册:2005-1-28
收藏
得分:0 
前台全静态
后台深路经
2006-12-08 13:51
suyongtao
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:33
帖 子:8674
专家分:127
注 册:2004-11-6
收藏
得分:0 

老大,这个管事不?


面朝大海,春暖花开!
2006-12-08 13:54
islet
Rank: 12Rank: 12Rank: 12
等 级:贵宾
威 望:89
帖 子:6548
专家分:0
注 册:2005-1-28
收藏
得分:0 
一般你把' "过滤掉就不能用注入了
但是javascript还能用
把<>搞掉脚本也就安全了

但是最安全就是全静态 呵呵 如果做不到就差不多就行了 能防几个伪黑客就行了
2006-12-08 14:02
EdwardLyons
Rank: 1
等 级:新手上路
帖 子:254
专家分:0
注 册:2006-12-8
收藏
得分:0 
以下是引用islet在2006-12-8 14:02:28的发言:
一般你把' "过滤掉就不能用注入了
但是javascript还能用
把<>搞掉脚本也就安全了

但是最安全就是全静态 呵呵 如果做不到就差不多就行了 能防几个伪黑客就行了

你说的应该是在文本框中屏蔽“'”就可以了,但是,suyongtao说的是防止地址栏中的SQL注入,那要屏蔽的东西就多了,总之,思路就是假设地址栏中有人恶意的放上了SQL语句,想办法屏蔽SQL所有的关键词,让那个SQL语句不能运行。


遥望辽阔广远的星空,童年的心扉情不自禁敞开,与神秘的宇宙零距离对话。
2006-12-08 14:09
suyongtao
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:33
帖 子:8674
专家分:127
注 册:2004-11-6
收藏
得分:0 

谢谢二位..


面朝大海,春暖花开!
2006-12-08 14:20
Kyo
Rank: 6Rank: 6
等 级:贵宾
威 望:23
帖 子:4536
专家分:1
注 册:2004-12-27
收藏
得分:0 
EdwardLyons
<SCRIPT language=javascript type=text/javascript>
document.write (astro(''));
</script>
等级:新手上路
文章:22
积分:367
注册:2006年12月8日洁洁 变性回来了

2006-12-08 14:40
suyongtao
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:33
帖 子:8674
专家分:127
注 册:2004-11-6
收藏
得分:0 
KYO,,,,你真是..恨天下不乱呀.

面朝大海,春暖花开!
2006-12-08 14:56
快速回复:进来看个问题..
数据加载中...
 
   



关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.036437 second(s), 7 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved