ASP SqlServer 参数,防注入攻击

最新推荐文章于 2022-01-18 18:34:23 发布
最新推荐文章于 2022-01-18 18:34:23 发布
阅读量96 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库 人工智能
原文链接:http://www.cnblogs.com/wgscd/articles/7509964.html
本文介绍了一个使用VBScript进行数据库操作的例子,包括建立连接、执行查询、处理查询结果及使用参数化查询防止SQL注入等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<%@ LANGUAGE="VBscript" %>
<%Response.Buffer = True
On Error Resume Next
%>
-----------------------------
<%

'ole db连接
set cnn1 = Server.CreateObject("ADODB.Connection")
'连接串需要注意sqlserver的实例名,是否是默认,非默认必须要写出来
cnn1.Open "Driver={SQL Server};Server=.;Database=SportsDB;UID=wgscd;PWD=111111;"
'或者 cnn1.Open "provider=sqloledb;data source=(local);uid=wgscd;pwd=111111;database=SportsDB"

sql = "select * from Customers"
set rs= Server.CreateObject("ADODB.RecordSet")

rs.Open sql,cnn1 ,1,1
'获得连接信息与查询结果行数
Response.write("连接1:" & cnn1.ConnectionString & "
行数:" & rs.recordcount & "

")

'循环结果输出
do While not rs.eof
'Response.write(rs(0) & "," & rs(1) & "
")
Response.write rs("id") & "
id:" & rs.Fields.Item("id").Value & "
"
rs.MoveNext
Loop

rs.close()
cnn1.close()
set cnn1 = nothing

'------------------------------------------------------------
‘带参数查询’
dim License
dim Product
License=2
Product=22

Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open ("Driver={SQL Server};Server=.;Database=SportsTek;UID=wgscd;PWD=111111;")
Dim Cust
Set Cust = Server.CreateObject ("ADODB.Recordset")
Cust.CursorLocation = 3

sql = "SELECT * FROM Customers WHERE id=? AND cust_name=?"
'Cust.Open sql, Conn, 1,3
set cmd = Server.CreateObject("ADODB.Command")
cmd.ActiveConnection = Conn
cmd.CommandText = sql
'-------------------------------------------------------------------------------
'cmd.Parameters.Append cmd.CreateParameter("",200, 1, 100,License)'参数为空也行
'cmd.Parameters.Append cmd.CreateParameter("",200, 1, 100,Product)'参数为空也行
'-------------------------------------------------------------------------------
cmd.Parameters.Append cmd.CreateParameter("@id",200, 1, 100,License)
cmd.Parameters.Append cmd.CreateParameter("@cust_name",200, 1, 100,Product)
'-----------------------------------------------
'not work(下面这种模式不正确)
'cmd.Parameters("@id").value = License
'cmd.Parameters("@cust_name").value = License
'-----------------------------------------------

Cust.Open cmd
'Sql injection add----------

IF Cust.RecordCount > 0 THEN
Response.write "
count:" & Cust.RecordCount & "
cust_name:" & Cust("cust_name")
else
Response.write "no
"
end if
Cust.Close
Conn.close
set Conn = nothing
'------------------------------------------------------------------
If Err.Number <> 0 Then
'Response.Clear
response.write"发生错误:"

%>

错误 Number: <%= Err.Number %>

错误信息: <%= Err.Description %>

出错文件: <%= Err.Source %>

出错行: <%= Err.Line %>

<%End If%>



Set parameter = command.CreateParameter (Name, Type, Direction, Size, Value)

返回值
返回 Parameter 对象。
参数
Name   可选,字符串,代表 Parameter 对象名称。
Type   可选,长整型值,指定 Parameter 对象数据类型。关于有效设置请参见 Type 属性。
Direction   可选,长整型值,指定 Parameter 对象类型。关于有效设置请参见 Direction 属性。
Size   可选,长整型值,指定参数值最大长度(以字符或字节数为单位)。
Value   可选,变体型,指定 Parameter 对象的值。
说明
使用 CreateParameter 方法可用指定的名称、类型、方向、大小和值创建新的 Parameter 对象。在参数中传送的所有值都将写入相应的 Parameter 属性。
该方法无法自动将 Parameter 对象追加到 Command 对象的 Parameter 集合,这样就可以设置附加属性。如果将 Parameter 对象追加到集合,则 ADO 将使该附加属性的值生效。
如果在 Type 参数中指定可变长度的数据类型,那么在将它追加到 Parameters 集合之前必须传送 Size 参数或者设置 Parameter 对象的 Size 属性
================================================================================
参数值的类型的意义如下:
Type名称 整数值 功能
adDBTimeStamp 135 日期时间数据类型
adDecimal 14 十进制整数值
adDouble 5 双精度小数值
adError 10 系统错误信息
AdGUID 72 全域性唯一识别字(Globally unique identifier)
adDispath 9 COM/OLE自动对象(Automation Object)
adInteger 3 4字节有符号整数
adIUnknown 13 COM/OLE对象
adLongVarBinary 205 大型2字节值
adLongVarChar 201 大型字符串值
adLongVarWChar 203 大型未编码字符串
adNumeric 131 十进制整数值
adSingle 4 单精度浮点小数
adSmallInt 2 2字节有符号整数
adTinyInt 16 1字节有符号整数
adUnsignedBigInt 21 8字节无符号整数
adUnsignedInt 19 4字节无符号整数
adUnsignedSmallInt 18 2字节无符号整数
adUnsignedTinyInt 17 1字节无符号整数
adUserDefined 132 用户自定义数据类型
adVariant 12 OLE对象
adVarBinary 204 双字节字符变量值
adVarChar 200 字符变量值
advarchar 202 未编码字符串变量值
adWchar 130 未编码字符串
方向值的意义如下:
Direction名称 整数值 功能  
adParamInput 1 允许数据输入至该参数当中
adParamOutput 2 允许数据输出至该参数当中
adParamInputOutput 3 允许数据输入、输出至该参数当中
adparamReturnValue 4 允许从一子程序中返回数据至该参数当中

转载于:https://www.cnblogs.com/wgscd/articles/7509964.html

ASP.NET的SQL注入攻击与预防 使用SQLServer
wf824284257的博客
02-05 1943
前言 本文通过一个以用户登录为例的示例项目,讲述了SQL注入攻击与预防。 示例项目使用了VS2017与SqlServer2008r2,采用WebAPI的架构。 下面让我们从头开始。 开始 Step.1 新建数据库表 在Test数据库下新建users表,含有3个字段(id,uid,pwd). 并添加一条数据。 Step.2 新建ASP.NET项目 打开 VS2017,选择【文件】-&gt;【新建...
SQL参数化-防SQL注入
08-30
关于SQL参数化的解释,关于参数化的一些自己的见解,参数化主要是为了防止SQL注入。
SQL不完全思路与防注入程序
布衣天使
01-10 1598
SQL注入简介许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,(一般是在浏览器地址栏进行,通过正常的www端口访问)根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入思路思路最重要其实好多人都不知道SQL到底能做什么呢这里总结一下SQL注入入侵的总体的思路1. SQL注入漏洞
ASP中的SQL注入
caozuiba
02-02 259
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,...
SQL注入之ASP+Access注入
weixin_43670105的博客
06-11 621
SQL注入之ASP+Access注入 添加链接描述
安全测试:代码注入攻防
weixin_34023863的博客
06-27 1512
2019独角兽企业重金招聘Python工程师标准>>> ...
sql.rar_SQL防注入_asp 防注入_sql注入_防破
09-22
在这个“sql.rar”压缩包中,我们重点关注的是如何防止这种攻击,尤其是针对ASP(Active Server Pages)环境的防护措施。 首先,了解SQL注入的基本原理是至关重要的。攻击者通常利用网站应用对用户输入数据的不恰当...
ASP源码—360通用ASP防护代码(防sql注入).zip
最新发布
10-14
ASP源码中,防止SQL注入是至关重要的安全措施,因为SQL注入攻击可能导致数据泄露、系统瘫痪甚至整个数据库被破坏。360通用ASP防护代码就是针对这种威胁的一种解决方案。 SQL注入是指攻击者通过在输入字段中插入...
ASP网站如何防SQL注入攻击.pdf
09-19
ASP网站由于其架构特点,极易遭受SQL注入攻击。SQL注入攻击是一种安全漏洞利用技术,攻击者可以通过该技术对Web应用程序执行未经授权的SQL命令,从而读取敏感数据,修改数据库信息,甚至获取系统级的控制权限。在...
万能Asp防注入代码 拒绝攻击
10-30
对于采用ASP(Active Server Pages)进行开发的网站来说,如何有效防御SQL注入攻击成为了一个关键问题。本文将详细介绍一种被称为“万能Asp防注入代码”的方法,并对其进行深入解析。 #### 二、万能Asp防注入代码...
解决大范围SQL注入攻击的问题
互联网进化论-刘锋
05-20 1373
        据IDG新闻服务5月19日报道,中国大陆和中国台湾地区数以千计的网站正在遭受大规模的SQL注入攻击。由于采用了非常强的SQL注入攻击手段,因此将会给很多目标网站带来不可逆转的破坏,数以千计的网站被卷入到了这次攻击中,截止上周五已经有超过1万个服务器被植入了恶意代码,而其中的大部分都位于中国大陆,还有一少部分位于中国台湾地区。搜房网和深圳汽车大世界网都沦为了上周五的攻击目标。    
sqlserver:sql注入防范&参数化sql
火焰
02-03 2590
环境: sqlserver2008及以上 .net core 3.1 sql注入本质: 接收用户输入的字符串并且将字符串拼接成sql语句执行。由于用户的故意的输入,打断了原来的sql结构。 --正常语句 select * from sysuser where username='admin' and pwd='123456' --被注入的语句(用户输入的用户名是【admin' --】,密码还是123456) select * from syssuer where username='admin' --'
【漏洞分析】关于 OLE 漏洞的简单总结
VI___
01-17 1527
OLE 全称是 对象链接和嵌入, OLE 漏洞的产生一般也来自 链接对象 和 嵌入对象 两个方面, 谈 OLE 漏洞可以从 OLE文档的加载过程开始讲: 比如你打开一个 OLE文档,那么其加载过程分为两步, ① 初始化 OLE 对象(包括两个攻击面) ② 执行 Verb 动作(包括一个攻击面) 两个步骤中共包括了三个攻击面(如上三个步骤都可以被攻击): ...
SQL SERVER 2008安全配置
liujiayu2的专栏
07-08 989
0x00 sql server 2008 权限介绍 在访问sql server 2008的过程中,大致验证流程如下图: 当登录操作一个数据库的时候,会经过三次验证: 1. 操作系统的验证 2. SQL SERVER登录名的验证 3. 数据库用户名的验证 当使用windows身份认证模式的时候,使用的windows账号会通过操作系统的验证,然后以sysadmin的服
SQLSERVER高级注入技巧
得峰的专栏 [网络收藏]
05-04 879
 SQLSERVER高级注入技巧[获得数据表名][将字段值更新为表名,再想法读出这个字段的值就可得到表名]update 表名 set 字段=(select top 1 name from sysobjects where xtype=u and status>0 [ and name[获得数据表字段名][将字段值更新为字段名,再想法读出这个字段的值就可得到字段名]update 表名 s
如何防止SQLserver服务器被黑?
无敌大将军
05-19 4038
如何防止SQLserver服务器被黑?请阅读以下技术文章: 一、基本安全设定: (1)文件系统的设定 windows2000server 支持多种文件系统,最安全的要数NTFS文件系统,如果你的windows2000server要用作服务器,最好将所有的分区都格式化为NTFS文件系统,fat32是不能用的。 (2)补丁(pack) 目前windows2000已经到sp4了,这个大补丁一定
71.网络安全渗透测试—[SQL注入篇10]—[SQLSERVER+ASP-联合查询注入]
qwsn
01-18 2379
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、SQLSERVER+ASP 联合查询注入 1、SQLSERVER 相关概念: 2、SQLSERVER+ASP 联合查询注入示例: (1)判断是否存在注入:`and/or逻辑判断` (2)判断列数:`order by` (3)联合查询注入—判断回显位:联合查询要求,联合查询的列与被联合查询的`列的个数和类型一致`,类型一致问题可以使用null值绕过。 (4)联合查询注入—查询系
ASP防SQL注入:如何过滤请求参数防止攻击
但是,ASP应用程序容易受到SQL注入攻击,这种攻击会威胁到数据的安全性。为了防止SQL注入攻击,开发者需要在代码中加入对用户输入的严格验证和过滤机制,从而确保只有合法、安全的输入能够被数据库接受。 SQL注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值