这几天一直为一个客户网站的sql注入漏洞烦恼着,我是用阿D检测漏洞的,检测出了一个微小的漏洞,但是这个漏洞是不会被侵入(我用我的弱小的黑客知识做了入侵检测),不过我还是挺烦心,总感觉有点不妥。终于忍不住了,不能视而不见了,我终于爆发了,发誓要将此微小漏洞抹杀掉。^_^,为了这,我求教了几个高手(我对程序不太熟悉),方法也很多,这里就发一个比较好的防sql注入的代码给大家,只要将这段代码加入到你网站相应的conn.asp这个文件里,就OK了,代码如下:
squery=lcase(Request.ServerVariables("QUERY_STRING"))
sURL=lcase(Request.ServerVariables("HTTP_HOST"))
SQL_injdata =":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
For SQL_Data=0 To Ubound(SQL_inj)
if instr(squery&sURL,Sql_Inj(Sql_DATA))>0 Then
Response.Write "SQL通用防注入系统"
Response.end
end if
next
