标题:[求助]关于SQL注入的问题
只看楼主
yangliangy
Rank: 1
等 级:新手上路
帖 子:144
专家分:0
注 册:2006-6-25
 问题点数:0 回复次数:1 
[求助]关于SQL注入的问题

这段时间网站老被黑,可能是自己写的程序太垃圾的缘故,这两天忙着将这些漏洞补上(五一好放心休息 )下面的是防注入表单Post部分的代码,请问这段代码有必要加吗.我想知道的是这个不加对安全性影响大不大.

我现在是加了,但文本编辑框中就添加不了那些特殊字符 ,我用server.htmlencode处理了文本编辑框的内容,但还是提示出错了!表单content的值中包含非法字符串
对了,用server.htmlencode编码后存入数据库的内容取出时要用哪个代码server.xxx ,忘记了?

Form_Badword="'∥%∥&∥*∥#∥(∥)∥=" '在这部份定义post非法参数,使用"∥"号间隔

'-----对 post 表 单值的过滤.

if request.form<>"" then
Chk_badword=split(Form_Badword,"∥")
FOR EACH Str_Name IN Request.Form
for i=0 to ubound(Chk_badword)
If Instr(LCase(request.form(Str_Name)),Chk_badword(i))<>0 Then
Select Case Err_Message
Case "1"
Response.Write "<Script Language=JavaScript>alert('出错了!表单 "&Str_Name&" 的值中包含非法字符串!\n\n请不要在表单中出现: % & * # ( ) 等非法字符!');window.history.go(-1);</Script>"
Case "2"
Response.Write "<Script Language=JavaScript>location.href='"&Err_Web&"'</Script>"
Case "3"
Response.Write "<Script Language=JavaScript>alert('出错了!参数 "&Str_Name&"的值中包含非法字符串!\n\n请不要在表单中出现: % & * # ( ) 等非法字符!');location.href='"&Err_Web&"';</Script>"
End Select
Response.End
End If
NEXT
NEXT
end if

搜索更多相关主题的帖子: SQL 
2007-04-30 09:03
yangliangy
Rank: 1
等 级:新手上路
帖 子:144
专家分:0
注 册:2006-6-25
得分:0 
没人知道呀!

http://www./blog  我的小站
2007-05-05 10:44



参与讨论请移步原网站贴子:https://bbs.bccn.net/thread-136127-1-1.html




关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.047061 second(s), 7 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved