Chinaunix首页 | 论坛 | 博客

liangEEen

首页 |  博文目录 |  关于我

liangEEen

  • 博客访问: 553024
  • 博文数量: 122
  • 博客积分: 2131
  • 博客等级: 大尉
  • 技术积分: 1652
  • 用 户 组: 普通用户
  • 注册时间: 2009-07-03 18:38
个人简介

别人能,你为什么不能,请记住这4点:1、想干总有办法,不想干总有理由2、只有想不到事的人,没有做不到的事3、不是井里没有水,而是挖的不够深 4、不是成功来的慢,而是放弃的太快。

文章分类

全部博文(122)

文章存档

2015年(1)

2014年(9)

2013年(48)

2011年(2)

2010年(8)

2009年(54)

我的朋友
最近访客
推荐博文
相关博文
防止'or''=''or'暴库入侵网站后台

分类: Mysql/postgreSQL

2009-09-28 10:04:51

方法1:Id=Trim(Request.Form("UserId"))
......
if Instr(Id,"=")>0 or Instr(Id,"%")>0 or Instr(Id,chr(32))>0 or Instr(Id,"?")>0 or Instr(Id,"&")>0 or Instr(Id,";")>0 or Instr(Id,",")>0 or Instr(Id,"'")>0 or Instr(Id,",")>0 or Instr(Id,chr(34))>0 or Instr(Id,chr(9))>0 or Instr(Id,"?")>0 or Instr(Id,"$")>0 then
Err=True
.................
Response.Redirect "Err.asp?ErrType=1&ErrId=3"
Response.End
end if

方法2: select ? from user where username='&&replace(request.form("UserID"),',")&&' and password=' &&replace(request.form 

  ("Pass"),',")&& 
方法3:在ASP程序提取数据库表单内容的“select * from”语句前增加一条关闭SQL出错信息的显示语句“on error resume next”,如 

  on error resume next 

  rs.Open "select ? from xinwen where xw_id="&&request.QueryString ("xw_id"),conn,1,3 

方法4:在你的ASP语句中(一般是在最开头的地方),加上一句
On Error Resume Next
(注意,这句必须加在<%   %>里面,不然IIS可不认。)
这就是著名的容错语句,当ASP语句执行时发生错误,就跳过错误,继续向下执行,而且不会返回错误信息。
当然,入侵者看不到错误信息,调试人员也看不到。所以,你一定在把一个ASP程序调试完毕后,再把这个语句加到ASP语句的顶端。否则,调试的时候,会烦死你的~~~~~~:O)
阅读(1207) | 评论(0) | 转发(0) |
0

上一篇:电脑高手常用的五个按钮

下一篇:35例网络故障排除方法(一)

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6