不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>網(wǎng)絡(luò)安全知識(shí)>

SQL注入漏洞的攻防策略(9)

時(shí)間: 若木632 分享

  方法一:

  <%if session("username"="" or session("userkey"="" then

  response.redirect "../../"

  end if%>

  (說明:只要有用戶注入則跳轉(zhuǎn)到../../目錄,呵呵,看你怎么給我注入)

  方法二:

  <%

  server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")

  server_v2=Cstr(Request.ServerVariables("SERVER_NAME")

  if mid(server_v1,8,len(server_v2))<>server_v2 then

  response.write "

  bgcolor=#EEEEEE width=450>"

  response.write "

"

  response.write "你提交的路徑有誤,禁止從站點(diǎn)外部提交數(shù)據(jù)請(qǐng)不要亂該參數(shù)!"

  response.write "

"

  response.end

  end if

  %>

  (說明:只要有用戶注入則判斷為外部連接哦,呵呵,看你怎么給我注入)

  方法三:

  <% dim From_url,Serv_url

  From_url = Cstr(Request.ServerVariables("HTTP_REFERER")

  Serv_url = Cstr(Request.ServerVariables("SERVER_NAME")

  if mid(From_url,8,len(Serv_url)) <> Serv_url then

  response.write "NO"

  response.redirect("../"

  response.end

  end if%>

  (說明:只要有用戶注入則跳轉(zhuǎn)到../(這個(gè)可以改為其它網(wǎng)站,或其它頁面,給它們一點(diǎn)小的警告也

  行哦)目錄,呵呵,看你怎么給我注入)

  黑客與安全是緊密的……

  利用instr()函數(shù)防止SQL注入攻擊

  學(xué)asp也有一段時(shí)間了,這幾天一直在寫自己的程序,也遇到了好多問題,我就不得不得考慮到一些現(xiàn)在

  的漏洞,比如,‘ 或 and 1=1等等的一些漏洞!別的先不管,今天我就來說說如何堵這個(gè)漏洞!

  記得看了一篇文章(不記得什么時(shí)候看的了),他用到了instr這個(gè)函數(shù),具體的應(yīng)該是這樣的。

  If instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then response.redirect

  "index.asp"

  當(dāng)然,也也可以在then后面寫你想要的!這個(gè)先不管!

  讓我們先來學(xué)習(xí)instr這個(gè)函數(shù)吧:

  語法

  InStr([start, ]string1, string2[, compare])

  InStr 函數(shù)的語法有以下參數(shù):

  參數(shù)描述start可選。數(shù)值表達(dá)式,用于設(shè)置每次搜索的開始位置。如果省略,將從第一個(gè)字符的位置開

  始搜索。如果 start 包含 Null,則會(huì)出現(xiàn)錯(cuò)誤。如果已指定 compare,則必須要有 start 參數(shù)。

  String1必選。接受搜索的字符串表達(dá)式。 String2

  必選。要搜索的字符串表達(dá)式。 Compare可選。指示在計(jì)算子字符串時(shí)使用的比較類型的數(shù)值。有關(guān)數(shù)值

  ,請(qǐng)參閱"設(shè)置"部分。如果省略,將執(zhí)行二進(jìn)制比較。

  compare 參數(shù)可以有以下值:

  常數(shù) 值 描述

  vbBinaryCompare 0 執(zhí)行二進(jìn)制比較。

  vbTextCompare 1 執(zhí)行文本比較。

  [返回值]

  InStr 函數(shù)返回以下值:

  如果 InStr 返回

  string1 為零長度 0

  string1 為 Null Null

  string2 為零長度 start

  string2 為 Null Null

  string2 沒有找到 0

  在 string1 中找到 string2 找到匹配字符串的位置

  start > Len(string2) 0

  下面的示例利用 InStr 搜索字符串:

  Dim SearchString, SearchChar, MyPos

  SearchString ="XXpXXpXXPXXP" ' 要在其中搜索的字符串。

  SearchChar = "P" ' 搜索 "P"。

  MyPos = Instr(4, SearchString, SearchChar, 1) '文本比較從第四個(gè)字符開始返回 6。

  MyPos = Instr(1, SearchString, SearchChar, 0) '二進(jìn)制比較從第1個(gè)字符開始返回 9。

  MyPos = Instr(SearchString, SearchChar) ' 返回 9。

  ' 缺省為二進(jìn)制比較(最后一個(gè)參數(shù)省略)。

  MyPos = Instr(1, SearchString, "W") ' 二進(jìn)制比較從第1個(gè)字符開始返回 0 (沒有找到 "W")。

  注意 InStrB 函數(shù)使用包含在字符串中的字節(jié)數(shù)據(jù),所以 InStrB 返回的不是一個(gè)字符串在另一個(gè)字

  符串中第一次出現(xiàn)的字符位置,而是字節(jié)位置。

  總結(jié)概括:instr的功能就是: 返回字符或字符串在另一個(gè)字符串中第一次出現(xiàn)的位置,好了,讓我

  們?cè)诳纯茨膫€(gè)代碼:

  if instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then

  含義:比較 字符(空格)與字符(')在request("id")中的具體位置(進(jìn)行二進(jìn)制制比較),假

  如找到了(空格)與(‘)字符,那么就是then 后的語句!

  現(xiàn)在大家理解這個(gè)含義了吧!

  當(dāng)我看第一眼的時(shí)候我就說,假如在asp?Id=90加上字符(;或,)等等一些字符時(shí)不是造樣出錯(cuò)嗎

  ?(是,回答的肯定的:)

  估計(jì)又有人說,那我會(huì)在if instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then

  語句中在加些字符,比如改為:if instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 or

  instr(Request("id"),";")>0 or instr(Request("id"),", ")>0 then

  等等,你還可以在后面加,呵呵!(這個(gè)好啊!不過比較爛:)

  是,這樣加上后,確實(shí)能桃過一些所謂的黑客們的手的!

  其實(shí)沒必要,大家忘了instr(Request("id")," ")>0這句話了嗎,他還和(空格)比較了啊!只要有

  這句話,那些所謂的黑客們的,and 1 = 1 不就沒用了嗎?

75367