展开全部
替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义。再来看前面的例子,"select * from Users where login = ’’’ or ’’1’’=’’1’ AND password = ’’’ or ’’1’’=’’1’"显然会得到与"select * from Users where login = ’’ or ’1’=’1’ AND password = ’’ or ’1’=’1’"不同的结果。
删除用户输入内容中的所有连字符,防止攻击者构造出类如"select * from Users where login = ’mas’ —— AND password =’’"之类的查询,因为这类查询的后半部分已经被注释掉,不再有效,攻击者只要知道一个合法的用户登录名称,根本不需要知道用户的密码就可以顺利获得访问权限。using System;
using System.Text.RegularExpressions;
class Test
{
static void Main()
{
Regex r = new Regex("admin|super|root");
string username = "I_am_admin";
if (r.IsMatch(username))
{
Console.WriteLine("不合法的用户名");
}
}
}
这是一个简单的小例子,你可以仿照这样去做
删除用户输入内容中的所有连字符,防止攻击者构造出类如"select * from Users where login = ’mas’ —— AND password =’’"之类的查询,因为这类查询的后半部分已经被注释掉,不再有效,攻击者只要知道一个合法的用户登录名称,根本不需要知道用户的密码就可以顺利获得访问权限。using System;
using System.Text.RegularExpressions;
class Test
{
static void Main()
{
Regex r = new Regex("admin|super|root");
string username = "I_am_admin";
if (r.IsMatch(username))
{
Console.WriteLine("不合法的用户名");
}
}
}
这是一个简单的小例子,你可以仿照这样去做
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
威孚半导体技术
2024-08-19 广告
威孚(苏州)半导体技术有限公司是一家专注生产、研发、销售晶圆传输设备整机模块(EFEM/SORTER)及核心零部件的高科技半导体公司。公司核心团队均拥有多年半导体行业从业经验,其中技术团队成员博士、硕士学历占比80%以上,依托丰富的软件底层...
点击进入详情页
本回答由威孚半导体技术提供
展开全部
<%Dim QueryData,FormData,QueryName,Name
QueryData="'|''|;|,|*|%|and|exec|insert|select|update|delete|count|master|truncate|char|declare|where|set|declare|mid|chr|set|chr(37)|net"
FormData=""'对 get query 值 的过滤.
if request.QueryString<>"" then
adoData=split(QueryData,"|")
FOR EACH QueryName IN Request.QueryString
for i=0 to ubound(adoData)
If Instr(LCase(request.QueryString(QueryName)),adoData(i))<>0 Then
Response.Write "<Script Language=javascript>alert('请不要提交非法请求!');history.back(-1)</Script>"
Response.end
End If
NEXT
NEXT
End if
%>
QueryData="'|''|;|,|*|%|and|exec|insert|select|update|delete|count|master|truncate|char|declare|where|set|declare|mid|chr|set|chr(37)|net"
FormData=""'对 get query 值 的过滤.
if request.QueryString<>"" then
adoData=split(QueryData,"|")
FOR EACH QueryName IN Request.QueryString
for i=0 to ubound(adoData)
If Instr(LCase(request.QueryString(QueryName)),adoData(i))<>0 Then
Response.Write "<Script Language=javascript>alert('请不要提交非法请求!');history.back(-1)</Script>"
Response.end
End If
NEXT
NEXT
End if
%>
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
<%
dim sql_injdata,SQL_inj,SQL_Get,SQL_Data
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|") If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(ucase(Request.QueryString(SQL_Get)),ucase(Sql_Inj(Sql_DATA)))>0 Then
Response.Write "<Script Language=javascript>alert('请不要在参数中包含非法字符尝试注入!');history.back(-1)</Script>"
Response.end
end if
next
Next
End If 'check end
%> 函数放在数据库连接字符串那里即可
dim sql_injdata,SQL_inj,SQL_Get,SQL_Data
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|") If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(ucase(Request.QueryString(SQL_Get)),ucase(Sql_Inj(Sql_DATA)))>0 Then
Response.Write "<Script Language=javascript>alert('请不要在参数中包含非法字符尝试注入!');history.back(-1)</Script>"
Response.end
end if
next
Next
End If 'check end
%> 函数放在数据库连接字符串那里即可
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(3)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
