#39andexecinsertselectdeleteupdatecount*%chrmidmastertruncatechardeclare 各個(gè)字符用quotquot隔開(kāi)，然后再判斷RequestQueryString，具體代碼如下get請(qǐng)求的非法字符過(guò)濾dim sql_injdata SQL_injdata = quot#39。

你寫(xiě)的是 select from username where type= quot type 要使用戶type 為 quot1 or type=adminquot，你猜猜是什么結(jié)果 防止注入概括起來(lái)其實(shí)就是 1 類型檢查 2 變量范圍檢查 3 特殊字符過(guò)濾 4 sql關(guān)鍵字過(guò)濾。

SQL注入，一般由 request 提交而來(lái)，所以過(guò)濾 request參數(shù)即可比如，正常獲取 id 為 requestquotidquot ，獲取后，對(duì)其進(jìn)行強(qiáng)制轉(zhuǎn)為int型，如 id = cintrequestquerystringquotidquot同理，凡是數(shù)字型的，一律進(jìn)行判斷是否。

lt 部份代碼Function HTMLEncodefStringfString=replacefString，quotquot，quot#59quotfString=replacefString，quotltquot，quotltquotfString=replacefString，quotquot，quotquotfString=replacefString，quot\quot，quot\quotfString=replacefString，quotquot。

lt%#39防SQL注入定義部份Dim Fy_Post，F(xiàn)y_Get，F(xiàn)y_In，F(xiàn)y_Inf，F(xiàn)y_Xh，F(xiàn)y_db，F(xiàn)y_dbstr#39自定義需要過(guò)濾的字串，用 quotquot 分隔Fy_In = quot#39andexecinsertselectdeleteupdatecount*%chrmidm。

防注入代碼定義兩個(gè)函數(shù)把你的id1用它們檢查一下就好id1 = RequestquotidquotSafeReplaceid1SafeRequestid1，1if Requestquotidquot=quotquot then responseWritequot請(qǐng)輸入要查看的的IDquotElse sql=quotselect * from xy_。

在你接收url參數(shù)的時(shí)候 過(guò)濾特殊字符就可以了 veryeasy~~給你一個(gè)函數(shù) #39___#39函數(shù)名SetRequest #39作 用防止SQL注入 #39ParaName參數(shù)名稱字符型 #39ParaType參數(shù)類型數(shù)字型1表示是數(shù)字，0表示為字符#39RequestType請(qǐng)。

把以上代碼加進(jìn)checkloginasp或者其他檢測(cè)密碼的頁(yè)面，也就是表單提交的頁(yè)面具體看action=什么后臺(tái)就沒(méi)事了，因?yàn)楹笈_(tái)要注入的話首先要登錄，除非是編輯器漏洞然后，你到網(wǎng)上找個(gè)sql防注入通用代碼，在前臺(tái)每個(gè)頁(yè)面。

在每個(gè)SQL語(yǔ)句那寫(xiě)SQL過(guò)濾還有用SQL數(shù)據(jù)庫(kù)加上補(bǔ)丁，把16位的密碼轉(zhuǎn)成32位把網(wǎng)站上所有寫(xiě)入權(quán)限都關(guān)了。

網(wǎng)絡(luò)安全是一項(xiàng)長(zhǎng)期的工作asp有很多漏洞，比如上傳漏洞，url注入不同的漏洞有不同的處理方式除了適當(dāng)?shù)墓δ苓^(guò)濾和文件過(guò)濾，最重要的是在日常生活中養(yǎng)成正確的網(wǎng)絡(luò)安全意識(shí)，有良好的代碼編寫(xiě)習(xí)慣防止aspsql注入的方法有。

下面，我為你搜索整理了SQL注入的攻擊和防范請(qǐng)參考并閱讀希望對(duì)你有幫助更多信息請(qǐng)關(guān)注我們的應(yīng)屆畢業(yè)生培訓(xùn)網(wǎng)！ 一SQL注入襲擊 簡(jiǎn)而言之，SQL注入是應(yīng)用程序開(kāi)發(fā)人員在應(yīng)用程序中意外引入SQL代碼的過(guò)程其應(yīng)用程序的糟糕設(shè)計(jì)使之。

2將數(shù)據(jù)庫(kù)修改為復(fù)雜名稱，寫(xiě)的自己都不記得最好 3查看上傳圖片的頁(yè)面是不是不登陸就可以打開(kāi) 4注意服務(wù)器安全 5檢查管理員帳戶是不是有弱口令 6修改后臺(tái)路徑 防住上傳和SQL注入基本就防住大部分入侵者，大不。

把下面代碼復(fù)制去保存成abcdeasp 覆蓋掉源來(lái)的文件應(yīng)該就可以了lt #39 防止SQL注入 dim SQL_Injdata，sql_inj SQL_Injdata = quot#39andexecinsertselectdeleteupdatecount*%chrmidmastertr。

簡(jiǎn)單 把這代碼做成一個(gè)文件casp 然后在你的asp中第一行包含casp既可以 lt #39#39定義部份 Dim Fy_Post，F(xiàn)y_Get，F(xiàn)y_In，F(xiàn)y_Inf，F(xiàn)y_Xh，F(xiàn)y_db，F(xiàn)y_dbstr #39#39自定義需要過(guò)濾的字串，用 quot防quot 分隔 Fy_In =。

1所有提交的數(shù)據(jù)，要進(jìn)行嚴(yán)格的前后臺(tái)雙重驗(yàn)證長(zhǎng)度限制，特殊符號(hào)檢測(cè)，先使用replace函數(shù) 依次替換不安全字符‘%lt等以及SQL語(yǔ)句exec delete ，再進(jìn)行其他驗(yàn)證2使用圖片上傳組件要防注入圖片上傳目錄不要給可。

那就是quot楓葉SQL通用防注入V10 ASP版quot，這是一段對(duì)用戶通過(guò)網(wǎng)址提交過(guò)來(lái)的變量參數(shù)進(jìn)行檢查的代碼，發(fā)現(xiàn)客戶端提交的參數(shù)中有quotexecinsertselectdeletefromupdatecountuserxp_cmdshelladdnetAscquot等用于SQL注入的常用。