数据库被注入恶意代码.docVIP

ASP+MSSQL 如何防止数据库注入 数据库被恶意注入代码是非常致命的问题，主要的手段有：利用程序漏洞，用一段程序就可以测试出来，主要体现在前台提交的一些表单上没有对非法字符进行过滤！那么我们如何防止注入呢？（这里只针对asp+MSSQL） 数据库被恶意注入代码是非常致命的问题，主要的手段有：利用程序漏洞，用一段程序就可以测试出来，主要体现在前台提交的一些表单上没有对非法字符进行过滤！那么我们如何防止注入呢？（这里只针对asp+MSSQL） 首先就是在程序中加上防止注入的过滤函数： 检测非字符 SQL_injdata |exec|insert|||delete|set | || | |char | || ||mid |asc ||cast|declare|exec|varchar| script|script|iframe|3bomb|c.js SQL_inj split SQL_Injdata,| 检测GET If Request.QueryString Then For Each SQL_Get In Request.QueryString For SQL_Data 0 To Ubound SQL_inj if instr lcase Request.QueryString SQL_Get ,Sql_Inj Sql_DATA 0 Then response.write 输入非法，数据库拒绝一些特殊的字符！ Response.end end if next Next End If 检测POST If Request.Form Then For Each Sql_Post In Request.Form For SQL_Data 0 To Ubound SQL_inj if instr lcase Request.Form Sql_Post ,Sql_Inj Sql_DATA 0 Then response.write 输入非法，数据库拒绝一些特殊的字符！ Response.end end if next next end if 检测cookie If Request.Cookies Then For Each Sql_Cookie In Request.Cookies For SQL_Data 0 To Ubound SQL_inj if instr lcase Request.Cookies Sql_Cookie ,Sql_Inj Sql_DATA 0 Then response.write 输入非法，数据库拒绝一些特殊的字符！ Response.end end if next next end if 这样就基本上把表单提交数据时的漏洞给堵死了！！从三个方面判断，直接请求数据和表单提交或者cookies提交数据非法字符都会被过滤掉！ dim server_v1,server_v2 server_v1 Cstr Request.ServerVariables HTTP_REFERER if server_v1 then if instr server_v1,3bomb 0 then response.write table border 1 cellpadding 20 bordercolor black bgcolor #EEEEEE width 450 response.write td style font:9pt Verdana response.write 你提交的路径有误，禁止从站点外部提交数据请不要乱该参数！ response.write response.end end if else server_v1 Cstr Request.ServerVariables SERVER_NAME end if server_v2 Cstr Request.ServerVariables SERVER_NAME if instr server_v1,3bomb 0instr server_v2,3bomb 0 then response.write table border 1 cellpadding 20 bordercolor black bgcolor #EEEEEE width 450 response.write td style font:9pt Verdana response.write 你提交的路径有误，禁止从站点外部提交数据请不要乱该参数！ response.write response.end end if 这段程序首先得到访问你网站的来源，如果是从您知道的一个非法域名3bomb上过来就不