love1314520
浪子
|
回复:
程序体(6)
出现这样的攻击,使我们的站长们不得不又再次头痛,这里我可以给出大家一个解决最好办法,一般的来说,用户名长度字符数不会超过15个字符,大都为14字符。那么我们从长度出发,来进行过滤:如程序体(7) Name=replace(name,”’”,””) If len(name)〉16 then Response.write “ 你要做什么?” Response.end End if 程序体(7) 为什么我们这里以及过滤了单引号,怎么还要再次取一个长度限制呢?不多说了,看看4ngel的文章先〈〈饶过’限制继续射入〉〉 .别问我怎么转数字格式,我不会,嘿嘿…^_^! 还继续回到我们的主题,” 脚本期望的输入变量是数字变量 (ID)”.怎样进行注入防范,天呐,方法太多了,最直接的就是判断是否是数字整型,还有一些比较个性的验证办法,我们一一介绍一下 如:程序体(8) 一,判断数字是否是整型 p_lngID = CLng(Request(“ID“)) 二 取字长 这一点我相信一般的数据长度不会大于8位所以: If len(ID)〉8 then response.write “bedpost” response end end if |
|
|
- · 网络上的SQL Injection 漏洞利用攻击,JS脚本,HTML脚本攻击似乎逾演逾烈。陆续的很多 ( love1314520 发表于 2006/6/2 8:51:00)
- · 得到了管理员的密码也就意味着已经控制的整站,虽然不一定能得到主机的权限,但也为这一步做了很大的铺垫。 ( love1314520 发表于 2006/6/2 8:52:00)
- · 得到了管理员的密码也就意味着已经控制的整站,虽然不一定能得到主机的权限,但也为这一步做了很大的铺垫。 ( love1314520 发表于 2006/6/2 8:52:00)
- · 程序体(2) 为了提供工作效率我们再将过滤内容程序化,这样对多个参数的过滤效率将有很大程度 ( love1314520 发表于 2006/6/2 8:53:00)
- · 程序体(3) 有了上面的过滤函数您可以在任何需要过滤的地方应用过滤函数直接使用就可以了。 ( love1314520 发表于 2006/6/2 8:54:00)
- · 程序体(4) (2)杜绝SQL 注入式攻击的第一步就是采用各种安全手段监控来自 ASP r ( love1314520 发表于 2006/6/2 8:54:00)
- · 程序体(5) fqys=request.servervariables(“qu ( love1314520 发表于 2006/6/2 8:54:00)
- · 程序体(6) 出现这样的攻击,使我们的站长们不得不又再次头痛,这里我可以给出大家一个解决最 ( love1314520 发表于 2006/6/2 8:54:00)
- · 三 我认为这是一种比较冒险的办法,就是再进行一次数据库的查询,如果数据库表内没有相同的值与之相同那么 ( love1314520 发表于 2006/6/2 8:55:00)
- · 程序体(8) 由于我个人的编程习惯,我喜欢将所有的数据检验程序全部保留到整站的公用程序中, ( love1314520 发表于 2006/6/2 8:55:00)
- · 程序体(9) 本以为这样就万事大吉了,在表格页上加一些限制,比如maxlength啦,等等 ( love1314520 发表于 2006/6/2 8:55:00)
- · 程序体(10) 把他们加到你的上传程序里做一次验证,那么你的上传程序安全性将会大大提高. ( love1314520 发表于 2006/6/2 8:56:00)
- · 哇这么多!楼主辛苦了~{115} ( 横刀夺爱 发表于 2006/6/2 9:54:00)
Copyright @ 2004-2021 www.52jdyy.com 激动社区 - 陪你一起慢慢变老!
皖公网安备 34182502000053号 皖ICP备19010502号