<% 
''将本页用include方法放在头部以让所有页都可以调用,比如include在conn.asp里 
''如果有流式上传的页面请把该页加到表page中,以防form冲突 

Dim N_no,N_noarray,req_Qs,req_F,N_i,N_dbstr,Conn,N_rs,N_userIP,N_thispage 

阅读全文……Tag : ASP | SQL注入

<% 
’’’’--------定义部份------------------ 
Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr 
’’’’自定义需要过滤的字串,用 "防" 分隔 
Fy_In = "’’’’防;防and防exec防insert防select防delete防update防count防*防%防chr防mid防master防truncate防char防declare防<防>防=防|防-防_" 

阅读全文……Tag : ASP | SQL注入

一般的http请求不外乎 get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可，所以我们实现http 请求信息过滤就可以判断是是否受到sql注入攻击。 
iis传递给asp.dll的get 请求是是以字符串的形式，，当 传递给Request.QueryString数据后，， 
asp解析器会分析Request.QueryString的信息，，然后根据"&"，分出各个数组内的数据 
所以get的拦截如下 
首先我们定义请求中不能包含如下字符 

阅读全文……Tag : ASP | SQL注入