<%
From_url = Cstr(Request.ServerVariables("HTTP_REFERER"))
Serv_url = Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(From_url,8,len(Serv_url)) <> Serv_url and mid(From_url,8,len(Serv_url))<>"030904.com" and mid(From_url,8,len(Serv_url))<>"www.030904.com" then
response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=400>"

阅读全文……Tag : ASP | 防盗链

ASP下载系统防盗链方法 

第一方法

    两个文件，第一个文件（例子中的index.asp）负责产生随机的下载链接，并将密匙写入COOKIE；第二个文件（例子中的download.asp）根据COOKIE找到实际下载地址，然后使用Response.AddHeader和Server.Transfer来重定向地址。为什么不使用Response.Redirect呢？是因为Response.Redirect是在客户端的重定向。如果使用Response.Redirect，那么真实的下载地址还是传给了客户端，这样防盗链的作用就小了很多，用MYIE等等浏览器或工具都可以轻易的获得真实下载地址。而IIS5.0中提供的Server.Transfer是服务器端的重定向，与客户端无关，这样客户端就无法获得真实的下载地址。

阅读全文……Tag : ASP | 防盗链

ASP 编程中 20 个非常有用的例子


1.如何用Asp判断你的网站的虚拟物理路径 
答：使用Mappath方法 

阅读全文……Tag : ASP | 基础知识

下面这段是基本的分页代码：
＜% sql = "select……………………省略了sql语句
　Set rs=Server.Createobject("ADODB.RECORDSET")
　rs.Open sql, conn, 1, 1
　if not rs.eof then

阅读全文……Tag : ASP | 分页代码

一、开篇
自从搞ASP+ACCESS没少为避免数据库下载而伤过神，网上的奇淫技巧更是数不胜数，本文就是同大家共同探讨各路前辈的留下的秘笈并指中其中的优劣，最后为大家提供一种最佳的解决方案
二、剖析
为了防止ACESS数据库下载，小的见过不少方法，主要有以下几种：
1、数据库加密-------这个自然不用说了，别人如果知道数据库路径，照样能下载，打开数据库其实也很简单，网上破解ACCESS数据库的密码软件太多了，以前我也有所研究，97版的ACCESS的密码是从文件的开头第73（如果这个数字没记错的话）个字符开始连续的十多个，这个是密码与已知的一串字符异和的结果，2000版的ACCESS变聪明了一些它的加密后的密码不是连续是间隔的不过加密密钥还是一样的，由于是对称加密所以破解ACCESS简直易如反掌（呵呵，好像跑题了）

阅读全文……Tag : ACCESS | 数据库 | 防下载

如何更好的达到防范黑客攻击，本人提一下个人意见！第一，免费程序不要真的就免费用，既然你可以共享原码，那么攻击者一样可以分析代码。如果在细节上注意防范，那样你站点的安全性就大大的提高了。即使出现了SQL Injection这样的漏洞，攻击者也不可能马上拿下你的站点。
　　由于ASP的方便易用，越来越多的网站后台程序都使用ASP脚本语言。但是， 由于ASP本身存在一些安全漏洞，稍不小心就会给黑客提供可乘之机。事实上，安全不仅是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则会给自己的网站带来巨大的安全隐患。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但如果编写程序的时候注意一点的话，还是可以避免的
　　1、用户名与口令被破解
　　攻击原理：用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。防范技巧：涉及用户名与口令的程序最好封装在服务器端，尽量少在ASP文件里出现，涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接，在理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户修改、插入、删除记录的权限。
　　2、验证被绕过

阅读全文……Tag : ASP | 网站漏洞

函数部分:'用途:检查是否为数字,以及数字是否超出范围
'输入:检查字符,传值方式(0直接传,1取Form,2取QueryString,3取cookies,4直接Reqeust),开始数字(默认数字),结束数字(为-1则不检查大小)
Function CheckNum(str_str,int_quest,int_startnum,int_endnum)
mystr=Trim(str_str)
Select Case int_quest

阅读全文……Tag : ASP | SQL注入

这几天着实为sql注入漏洞伤了神,网上的代码好多不是很深奥就是麻烦
终于找到了万能防注代码,分享了,呵呵
操作简单上手,只要来个包含或放入conn.asp中,搞定
末了,估计还有一些危险字符没有放全,帮我补全一下,谢谢了


阅读全文……Tag : ASP | SQL注入

这个是论坛站长网站里的，把它搬到论坛来和大家分享一下，这些资料很有价值哦 

数据库暴库整理篇

引子：昨天和animator试验了一下，把data.mdb文件改名为data.asp文件后放在wwwroot目录里。然后在IE中输入data.asp路径后，发现IE显示一片空白，右键->察看源文件，跳出记事本，将内容另存为.mdb文件，用ACCESS打开，发现需要密码，也就是说至少文件头被破坏。  

阅读全文……Tag : ASP | 数据库

如果我们知道一个静态文件的实际路径如：http://www.xx.com/download/51windows.pdf，如果服务器没有作特别的限制设置，我们就可以毫不费力的把它下载下来！当网站提供51windows.pdf下载时，怎么样才能让下载者无法得到他的实际路径呢！本文就来介绍如何使用Asp来隐藏文件的实际下载路径。 
　　我们在管理网站文件时，可以把扩展名一样的文件放在同一个目录下，起一个比较特别名字，例如放pdf文件目录为the_pdf_file_s，把下面代码另存为down.asp，他的网上路径为http://www.xx.com/down.asp，我们就可以用http://www.xx.com/down.asp?FileName=51windows.pdf来下载这个文件了，而且下载者无法看到这个文件实际下载路径的！在down.asp中我们还可以设置下载文件是否需要登陆，判断下载的来源页是否为外部网站，从而可以做到防止文件被盗链。


示例代码：

阅读全文……Tag : ASP | 防盗链