对一切的SQL注入Say NO

时间 2020-06-14

标签一切 sql 注入 say 栏目 SQL 繁體版

原文原文链接

sql注入漏洞可谓是“千里之堤，溃于蚁穴”，这种漏洞在网上极为广泛，一般是因为程序员对注入不了解，或者程序过滤不严格，或者某个参数忘记检查致使。在这里，我给你们一个函数，代替ASP中的Request函数，能够对一切的SQL注入Say NO，函数以下：　　程序员

  
  
  
  
   
   
   
   Function SafeRequest(ParaName,ParaType)   
   
   
   
    
   
   
   
   　　 ’--- 传入参数 --- 　　   
   
   
   
    
   
   
   
   ’ParaName:参数名称-字符型 　　   
   
   
   
    
   
   
   
   ’ParaType:参数类型-数字型(1表示以上参数是数字，0表示以上参数为字符)　   
   
   
   
    
   
   
   
   　　 Dim ParaValue   
   
   
   
    
   
   
   
   　　 ParaValue=Request(ParaName)  
   
   
   
    
   
   
   
    　　 If ParaType=1 then   
   
   
   
    
   
   
   
   　　 If not isNumeric(ParaValue) then  
   
   
   
    
   
   
   
    　　 Response.write "参数" & ParaName & "必须为数字型！" 
   
   
   
    
   
   
   
    　　 Response.end   
   
   
   
    
   
   
   
   　　 End if  
   
   
   
    
   
   
   
    　　 Else   
   
   
   
    
   
   
   
   　　 ParaValue=replace(ParaValue,"’","’’")   
   
   
   
    
   
   
   
   　　 End if   
   
   
   
    
   
   
   
   　　 SafeRequest=ParaValue   
   
   
   
    
   
   
   
   　　End function