当前位置: 首页 > 图文教程 > 网络编程 > ASP > 一个asp函数, 解决SQL Injection漏洞

ASP
Adodb.Command 平时很少注意到的一个参数
Asp.Net控件加载错误的解决方法
远程连接access数据库的方法
创建具有JScript的HTML的XMLHTTP
在Asp中如何快速优化分页的技巧
用VB生成DLL封装ASP代码,连接数据库
RS.OPEN SQL,CONN,A,B 全接触
利用adodb.stream直接下载任何后缀的文件(防盗链)
用ASP编程控制在IIS建立Web站点的程序代码
使用VBScript操作Html复选框(CheckBox)控件
把文章内容中涉及到的图片自动保存到本地服务器
两个不同数据库表的分页显示解决方案
使用组件封装数据库操作(一)
使用组件封装数据库操作(二)
如何在pb中创建COM组件,并在asp中调用并返回结果集?
用ASP和Microsoft.XMLDOM分析远程XML文件
浅谈无刷新取得远程数据技术
将ASP纪录集输出成n列的的表格形式显示的方法
在ASP中通过oo4o连接Oracle数据库的例子
Server Application Error详细解决办法

ASP 中的 一个asp函数, 解决SQL Injection漏洞


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 31 ::
收藏到网摘: n/a

 

/**
作者:慈勤强
Email: [email protected]
*/

函数很简单, 主要是针对字符串和数字两种类型的传入数据分别进行了处理,具体用法:

字符类型的
strUsername = CheckInput(Request(“username“),“s“)
数字类型的
ID = CheckInput(Request(“id“),“i“)

下面是函数

Function CheckInput(str,strType)
   '函数功能:过滤字符参数中的单引号,对于数字参数进行判断,如果不是数值类型,则赋值0
   '参数意义:  str        ---- 要过滤的参数
   '                 strType ---- 参数类型,分为字符型和数字型,字符型为"s",数字型为"i"
 Dim strTmp
 strTmp     = ""
 If strType ="s" Then
  strTmp = Replace(Trim(str),"'","''")
 ElseIf strType="i" Then
  If isNumeric(str)=False Then str="0"
  strTmp = str
 Else
  strTmp = str
 End If
 CheckInput = strTmp
End Function


SQL Injection的危害是很大的,比如对于SQL Server,可以创建、删除数据库,执行系统命令等等, 如drop table tbl_name, execute master.dbo.xp_cmdshell "command"所以很多人写的函数就是拼命的去过滤这些可能引起危害的关键词,比如drop ,分号,and,exe,mid等等,罗列了一大堆。

其实,尽可以不必那么繁琐,非要把简单的事情复杂化。
对于过滤,ASP中只要针对字符型和数字型分别处理就可以了,

字符型的,把单引号转换成两个单引号  strTmp = Replace(Trim(str),"'","''")
数字型的,就判断是否能够转换成数字型的 ,用 isNumeric函数

现在网上说的能够绕过单引号的攻击,其实是针对数字类型的,如果对于过滤了单引号的字符型,还有办法绕过,那就没得玩了........