Chinaunix首页 | 论坛 | 博客
  • 博客访问: 29956701
  • 博文数量: 2065
  • 博客积分: 10377
  • 博客等级: 上将
  • 技术积分: 21525
  • 用 户 组: 普通用户
  • 注册时间: 2008-11-04 17:50
文章分类

全部博文(2065)

文章存档

2012年(2)

2011年(19)

2010年(1160)

2009年(969)

2008年(153)

分类: 系统运维

2009-10-11 09:26:39

1.在每个页面的头部引入这个文件
Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr,Kill_IP,WriteSql
'自定义需要过滤的字串,用 "|" 分隔
Fy_In = "'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
Kill_IP=True
WriteSql=True           
'----------------------------------


Fy_Inf = split(Fy_In,"|")
'--------POST部份------------------
If Request.Form<>"" Then
    For Each Fy_Post In Request.Form
        For Fy_Xh=0 To Ubound(Fy_Inf)
            If Instr(LCase(Request.Form(Fy_Post)),Fy_Inf(Fy_Xh))<>0 Then
            Response.Write ""
            Response.End
            End If
        Next
    Next
End If
If Request.QueryString<>"" Then
    For Each Fy_Get In Request.QueryString
        For Fy_Xh=0 To Ubound(Fy_Inf)
            If Instr(LCase(Request.QueryString(Fy_Get)),Fy_Inf(Fy_Xh))<>0 Then
            Response.Write ""
            Response.End
            End If
        Next
    Next
End If

它是直接过滤掉POST与GET 数组里面的全部非法字符的!

联想到了PHP里面在我的控制器里面添加进来一个自定义过滤器。直接DIE掉就O了!
阅读(1223) | 评论(1) | 转发(0) |
给主人留下些什么吧!~~

chinaunix网友2010-03-16 20:27:01

女人,你这样过滤不行那! 不知道你有没有考虑过,如果用表单的POST方法提交一篇英文的技术类的文章,其中少不了一些特殊的关键字和一些特殊的标点符号,这样你怎么办? 交流QQ:25457788