2009-09-02 11:10:48
|
近日有部分黑客通过我们网站进行sql注入来实现他的黑客成功的喜悦,多次造成本公司门户网站(http://www.gogochina.cn/)显示不正常,甚至内容和后台管理都无法进行.因此本人也是多次进行文件的上传工作,使得网站也是多次受到客户的对我提出为什么网站又无法打开或是打开内容显示不全等.
今天本人在网上搜了一些有关asp+access网上的sql注入问题的解决与防sql注入代码以及防sql代码注放在那个文件等.经多方查找和对比本人找到不少有关文件.其中最新祥细的我也来出与大家分享一下:
---------------------------------------------------------------------------------------------
以下为代码内容:放入conn.asp中(拒绝攻击 万能Asp防注入代码) 第一种: squery=lcase(Request.ServerVariables("QUERY_STRING")) sURL=lcase(Request.ServerVariables("HTTP_HOST")) SQL_injdata =":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
For SQL_Data=0 To Ubound(SQL_inj)
if instr(squery&sURL,Sql_Inj(Sql_DATA))>0 Then Response.Write "SQL通用防注入系统" Response.end end if next 第二种: SQL_injdata =":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then For Each SQL_Get In Request.QueryString For SQL_Data=0 To Ubound(SQL_inj) if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then Response.Write "SQL通用防注入系统" Response.end end if next Next End If If Request.Form<>"" Then 本文出自 51CTO.COM技术博客For Each Sql_Post In Request.Form For SQL_Data=0 To Ubound(SQL_inj) if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then Response.Write "SQL通用防注入系统" Response.end end if next next end if |