仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 782|回复: 11
打印 上一主题 下一主题

[学习教程] ASP网页设计编写通用的ASP防SQL注进打击程序

[复制链接]
因胸联盟 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 23:13:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
ASP脚本是采用明文(plaintext)方式来编写的。程序|打击SQL注进被那些菜鸟级其余所谓黑客妙手玩出了味道,发明如今年夜部分黑客进侵都是基于SQL注进完成的,哎,谁让这个进门简单呢,好了,不说空话了,如今我入手下手说假如编写通用的SQL防注进程序一样平常的http哀求不过乎get和post,以是只需我们在文件中过滤一切post大概get哀求中的参数信息中不法字符便可,以是我们完成http哀求信息过滤就能够判别是是不是遭到SQL注进打击。

  IIS传送给asp.dll的get哀求是是以字符串的情势,,当传送给Request.QueryString数据后,asp剖析器会剖析Request.QueryString的信息,,然后依据"&",分出各个数组内的数据以是get的拦阻以下:

  起首我们界说哀求中不克不及包括以下字符:

|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
  各个字符用"|"离隔,,然后我们判别的失掉的Request.QueryString,详细代码以下:

dimsql_injdata
SQL_injdata="|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj=split(SQL_Injdata,"|")
IfRequest.QueryString<>""Then
 ForEachSQL_GetInRequest.QueryString
  ForSQL_Data=0ToUbound(SQL_inj)
   ifinstr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0Then
    Response.Write"<ScriptLanguage=****>alert(世界影戏同盟SQL通用防注进体系提醒↓nn请不要在参数中包括不法字符实验注进!);history.back(-1)</Script>"
    Response.end
   endif
  next
 Next
EndIf
  如许我们就完成了get哀求的注进的拦阻,可是我们还要过滤post哀求,以是我们还得持续思索request.form,这个也是以数组情势存在的,我们只必要再进一次轮回判别便可。代码以下:

IfRequest.Form<>""Then
 ForEachSql_PostInRequest.Form
  ForSQL_Data=0ToUbound(SQL_inj)
   ifinstr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0Then
    Response.Write"<ScriptLanguage=****>alert(世界影戏同盟SQL通用防注进体系提醒↓nn请不要在参数中包括不法字符实验注进!nnHTTP://www.521movie.com);history.back(-1)</Script>"
    Response.end
   endif
  next
 next
endif
  好了半途而废,我们已完成了get和post哀求的信息拦阻,你只必要在conn.asp之类的翻开数据库文件之前援用这个页面便可。宁神的持续开辟你的程序,不必再思索是不是还会遭到SQL注进打击。岂非不是么?
</p>asp,你就只能等着微软给你解决,它不乐意你就只好悲催。而且asp跑在windows服务器上,windows服务器跟linux比起来简直弱爆了!
飘飘悠悠 该用户已被删除
沙发
发表于 2015-1-17 17:57:54 | 只看该作者
尽管MS自己讲C#内核中更多的象VC,但实际上我还是认为它和Java更象一些吧。首先它是面向对象的编程语言,而不是一种脚本,所以它具有面向对象编程语言的一切特性,比如封装性、继承性、多态性等等,这就解决了刚才谈到的ASP的那些弱点。
若天明 该用户已被删除
板凳
发表于 2015-1-21 05:41:08 | 只看该作者
从事这个行业,那么你可以学ASP语言,简单快速上手,熟练dreamweav排版,写asp代码,熟练photoshop处理图片,打好基础就行了
爱飞 该用户已被删除
地板
发表于 2015-1-25 15:24:38 | 只看该作者
它可通过内置的组件实现更强大的功能,如使用A-DO可以轻松地访问数据库。
莫相离 该用户已被删除
5#
发表于 2015-1-25 20:16:47 | 只看该作者
我就感觉到ASP和一些常用的数据库编程以及软件工程方面的思想是非常重要的。我现在也在尝试自己做网页,这其中就用到了ASP,我想它的作用是可想而知的。
飘灵儿 该用户已被删除
6#
发表于 2015-1-29 14:35:24 | 只看该作者
不是很难但是英文要有一点基础网上的教程很少有系统的详细的去买书吧,另不用专门学习vb关于vbscript脚本在asp教材都有介绍
兰色精灵 该用户已被删除
7#
发表于 2015-2-1 17:33:19 | 只看该作者
Application:这个存储服务端的数据,如果不清除,会直到web应用程序结束才清除(例如重启站点)
灵魂腐蚀 该用户已被删除
8#
发表于 2015-2-7 12:22:36 | 只看该作者
用户端的浏览器不需要提供任何别的支持,这样大提高了用户与服务器之间的交互的速度。
海妖 该用户已被删除
9#
发表于 2015-2-21 21:11:32 | 只看该作者
交流是必要的,不管是生活还是学习我们都要试着去交流,通过交流我们可以学到很多我们自己本身所没有的知识,可以分享别人的经验甚至经历。
第二个灵魂 该用户已被删除
10#
发表于 2015-3-6 21:47:38 | 只看该作者
ASP(ActiveServerPages)是Microsfot公司1996年11月推出的WEB应用程序开发技术,它既不是一种程序语言,也不是一种开发工具,而是一种技术框架,不须使用微软的产品就能编写它的代码,能产生和执行动态、交互式、高效率的站占服务器的应用程序。
再现理想 该用户已被删除
11#
发表于 2015-3-13 21:53:49 | 只看该作者
运用ASP可将VBscript、javascript等脚本语言嵌入到HTML中,便可快速完成网站的应用程序,无需编译,可在服务器端直接执行。容易编写,使用普通的文本编辑器编写,如记事本就可以完成。由脚本在服务器上而不是客户端运行,ASP所使用的脚本语言都在服务端上运行。
蒙在股里 该用户已被删除
12#
发表于 2015-3-20 19:44:33 | 只看该作者
在平时的学习过程中要注意现学现用,注重运用,在掌握了一定的基础知识后,我们可以尝试做一些网页,也许在开始的时候我们可能会遇到很多问题,比如说如何很好的构建基本框架。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-25 02:35

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表