asp 防止SQL注入代码
程序员文章站
2023-01-29 13:54:24
把下面代码复制到每个文件头部就可以防止sql注入了,写程序安全最重要 :) <% dim fy_url,fy_a,fy_x,fy_cs(),fy_cl,fy...
把下面代码复制到每个文件头部就可以防止sql注入了,写程序安全最重要 :)
<%
dim fy_url,fy_a,fy_x,fy_cs(),fy_cl,fy_ts,fy_zx
'---定义部份 头------
fy_cl = 1 '处理方式:1=提示信息,2=转向页面,3=先提示再转向
fy_zx = "error.asp" '出错时转向的页面
'---定义部份 尾------
on error resume next
fy_url=request.servervariables("query_string")
fy_a=split(fy_url,"&")
redim fy_cs(ubound(fy_a))
on error resume next
for fy_x=0 to ubound(fy_a)
fy_cs(fy_x) = left(fy_a(fy_x),instr(fy_a(fy_x),"=")-1)
next
for fy_x=0 to ubound(fy_cs)
if fy_cs(fy_x)<>"" then
if instr(lcase(request(fy_cs(fy_x))),"'")<>0 or instr(lcase(request(fy_cs(fy_x))),"and")<>0 or instr(lcase(request(fy_cs(fy_x))),"select")<>0 or instr(lcase(request(fy_cs(fy_x))),"update")<>0 or instr(lcase(request(fy_cs(fy_x))),"chr")<>0 or instr(lcase(request(fy_cs(fy_x))),"delete%20from")<>0 or instr(lcase(request(fy_cs(fy_x))),";")<>0 or instr(lcase(request(fy_cs(fy_x))),"insert")<>0 or instr(lcase(request(fy_cs(fy_x))),"mid")<>0 or instr(lcase(request(fy_cs(fy_x))),"master.")<>0 then
select case fy_cl
case "1"
response.write "<script language=javascript>alert(' 出现错误!参数 "&fy_cs(fy_x)&" 的值中包含非法字符串!\n\n 请不要在参数中出现:;,and,select,update,insert,delete,chr 等非法字符!\n\n你想干吗!不要做无聊的事情!谢谢!');window.close();</script>"
case "2"
response.write "<script language=javascript>location.href='"&fy_zx&"'</script>"
case "3"
response.write "<script language=javascript>alert(' 出现错误!参数 "&fy_cs(fy_x)&"的值中包含非法字符串!\n\n 请不要在参数中出现:;,and,select,update,insert,delete,chr 等非法字符!\n\n你想干吗!不要做无聊的事情!谢谢!');location.href='"&fy_zx&"';</script>"
end select
response.end
end if
end if
next
%>
<%
dim fy_url,fy_a,fy_x,fy_cs(),fy_cl,fy_ts,fy_zx
'---定义部份 头------
fy_cl = 1 '处理方式:1=提示信息,2=转向页面,3=先提示再转向
fy_zx = "error.asp" '出错时转向的页面
'---定义部份 尾------
on error resume next
fy_url=request.servervariables("query_string")
fy_a=split(fy_url,"&")
redim fy_cs(ubound(fy_a))
on error resume next
for fy_x=0 to ubound(fy_a)
fy_cs(fy_x) = left(fy_a(fy_x),instr(fy_a(fy_x),"=")-1)
next
for fy_x=0 to ubound(fy_cs)
if fy_cs(fy_x)<>"" then
if instr(lcase(request(fy_cs(fy_x))),"'")<>0 or instr(lcase(request(fy_cs(fy_x))),"and")<>0 or instr(lcase(request(fy_cs(fy_x))),"select")<>0 or instr(lcase(request(fy_cs(fy_x))),"update")<>0 or instr(lcase(request(fy_cs(fy_x))),"chr")<>0 or instr(lcase(request(fy_cs(fy_x))),"delete%20from")<>0 or instr(lcase(request(fy_cs(fy_x))),";")<>0 or instr(lcase(request(fy_cs(fy_x))),"insert")<>0 or instr(lcase(request(fy_cs(fy_x))),"mid")<>0 or instr(lcase(request(fy_cs(fy_x))),"master.")<>0 then
select case fy_cl
case "1"
response.write "<script language=javascript>alert(' 出现错误!参数 "&fy_cs(fy_x)&" 的值中包含非法字符串!\n\n 请不要在参数中出现:;,and,select,update,insert,delete,chr 等非法字符!\n\n你想干吗!不要做无聊的事情!谢谢!');window.close();</script>"
case "2"
response.write "<script language=javascript>location.href='"&fy_zx&"'</script>"
case "3"
response.write "<script language=javascript>alert(' 出现错误!参数 "&fy_cs(fy_x)&"的值中包含非法字符串!\n\n 请不要在参数中出现:;,and,select,update,insert,delete,chr 等非法字符!\n\n你想干吗!不要做无聊的事情!谢谢!');location.href='"&fy_zx&"';</script>"
end select
response.end
end if
end if
next
%>
上一篇: eWebEditor:网站中的隐形炸弹
下一篇: 列表,元组,字典