方案四
1、ASP/SQL语句注入:在多都是利用网页没有对提交的数据进行过滤而直接带入数据库!
防:注入语句大多有如下字符:' , % & = ; > < 来构成SQL语句!
注意:我们要作的是对写入数据库中的每一个字段都要作过滤!是每一个,千万不怕麻烦!提供如下过滤语句!
'**************************************************** ?@纟N(
if instr(accountname,"'")<>0 or instr(accountname,";")<>0 or instr(accountname,"&")<>0 or instr(accountname,">")<>0 or instr(accountname,",")<>0 or instr(accountname,"=")<>0 or instr(accountname,"%")<>0 then 心V1匏?
response.write "<script language=javascript>alert('\n\n***********提示***********\n\n1、所输入的数据包含非法字符!\n\n5、请点击确定返回!');history.back()</script>" 嗟?艰1 3f
response.end ?J?U?
end if i???墉?
'****************************************************
把accountname改成需要过滤字段就行了!有多个字段就要多少个如上的判断语句!
2、异地表单提交!(某此人用来突破原网页的种种限制)
防:禁止异地表单提交!在你的数据库连接文件(conn.asp)加入如下判断语句!
<% R? 邺?.
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")) o????
server_v2=Cstr(Request.ServerVariables("SERVER_NAME")) ''?QN齿?
if mid(server_v1,8,len(server_v2))<>server_v2 then ?R9阙L?
response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450>" 毵R谑?T%
response.write "<tr><td style='font:9pt Verdana'>" B?U c麂?
response.write "你提交的路径有误,禁止从站点外部提交数据请不要乱改参数!" z???寿
response.write "</td></tr></table></center>" f?z$!}蒇
response.end ?,|?.yD
end if B俗??d,0
%> ???镦?
蒿氕/?=?