asp防SQL注入函数

 

1. 'SQL防注入函数，调用方法，在需要防注入的地方替换以前的request("XXXX")为SafeRequest("XXXX")   
2. 'www.yongfa365.com   
3.   
4. Function  SafeRequest(ParaValue)   
5.     ParaValue =  Trim ( Request (ParaValue))   
6.      If  ParaValue =  ""   Then   
7.         SafeRequest =  ""   
8.          Exit   Function   
9.      End   If   
10.      '要过滤的字符以","隔开   
11.     LockValue =  "',Select,Update,Delete,insert,Count(,drop table,truncate,Asc(,Mid(,char(,xp_cmdshell,exec master,net localgroup administrators,And,net user,Or"   
12.     LockValue =  Split (LockValue,  "," )   
13.      '判断是否有注入   
14.      For  i = 0  To   UBound (LockValue)   
15.          If   InStr ( LCase (ParaValue),  LCase (LockValue(i)))>0  Then   
16.             errmsg = 1   
17.              Exit   For   
18.          End   If   
19.      Next   
20.      '注入处理   
21.      If  errmsg = 1  Then   
22.          Response . Write   "<script language='javascript'>alert('可疑的SQL注入请求!');window.history.go(-1);</script>"   
23.          response . End   
24.      Else   
25.         SafeRequest = ParaValue   
26.      End   If   
27. End   Function   

'SQL防注入函数，调用方法，在需要防注入的地方替换以前的request("XXXX")为SafeRequest("XXXX")
'www.yongfa365.com

Function SafeRequest(ParaValue)
    ParaValue = Trim(Request(ParaValue))
    If ParaValue = "" Then
        SafeRequest = ""
        Exit Function
    End If
    '要过滤的字符以","隔开
    LockValue = "',Select,Update,Delete,insert,Count(,drop table,truncate,Asc(,Mid(,char(,xp_cmdshell,exec master,net localgroup administrators,And,net user,Or"
    LockValue = Split(LockValue, ",")
    '判断是否有注入
    For i = 0 To UBound(LockValue)
        If InStr(LCase(ParaValue), LCase(LockValue(i)))>0 Then
            errmsg = 1
            Exit For
        End If
    Next
    '注入处理
    If errmsg = 1 Then
        Response.Write "<script language='javascript'>alert('可疑的SQL注入请求!');window.history.go(-1);</script>"
        response.End
    Else
        SafeRequest = ParaValue
    End If
End Function

下边是用正则表达式过滤的例子

view plain copy to clipboard print ?

1.   
2. 'SQL防注入函数，调用方法，在需要防注入的地方替换以前的request("XXXX")为SafeRequest("XXXX")      
3. 'www.yongfa365.com      
4.      
5. Function  SafeRequest(ParaValue)   
6.     ParaValue =  Trim ( Request (ParaValue))   
7.      '正则表达式过滤   
8.      Set  re = New  RegExp   
9.      '禁止使用的注入字符   
10.     re.Pattern =  "/'|Select|Update|Delete|insert|Count|drop table|truncate|Asc|Mid|char|xp_cmdshell|exec master|net localgroup administrators|And|net user|Or"   
11.     re.IgnoreCase =  True   
12.     re.Global =  True   
13.      Set  Matches = re. Execute (ParaValue)   
14.     RegExpTest = Matches. count   
15.      '注入处理   
16.      If  RegExpTest >0  Then   
17.          Response . Write   "<script language='javascript'>alert('可疑的SQL注入请求!');window.history.go(-1);</script>"   
18.          response . End   
19.      Else   
20.         SafeRequest = ParaValue   
21.      End   If   
22. End   Function