自己写一个防止SQL注入函数

函数

<%
function sqlcheck(Str,errtype)
if Instr(LCase(Str),"select ") > 0 or Instr(LCase(Str),"insert ") > 0 or Instr(LCase(Str),"delete ") > 0 or Instr(LCase(Str),"delete from ") > 0 or Instr(LCase(Str),"count(") > 0 or Instr(LCase(Str),"drop table") > 0 or Instr(LCase(Str),"update ") > 0 or Instr(LCase(Str),"truncate ") > 0 or Instr(LCase(Str),"asc(") > 0 or Instr(LCase(Str),"mid(") > 0 or Instr(LCase(Str),"char(") > 0 or Instr(LCase(Str),"xp_cmdshell") > 0 or Instr(LCase(Str),"exec master") > 0 or Instr(LCase(Str),"net localgroup administrators") > 0 or Instr(LCase(Str),"and ") > 0 or Instr(LCase(Str),"net user") > 0 or Instr(LCase(Str),"or ") > 0 then
Response.write("<script language=javascript>" & vbcrlf & "window.location.href ='ShowError.asp?errtype=" & errtype & "'" & vbcrlf & "</script>")
Response.End
end if
Str=Replace(Str,"_","") '过滤SQL注入_
Str=Replace(Str,"*","") '过滤SQL注入*
Str=Replace(Str," ","") '过滤SQL注入空格
Str=Replace(Str,chr(34),"") '过滤SQL注入"
Str=Replace(Str,chr(39),"") '过滤SQL注入'
Str=Replace(Str,chr(91),"") '过滤SQL注入[
Str=Replace(Str,chr(93),"") '过滤SQL注入]
Str=Replace(Str,chr(37),"") '过滤SQL注入%
Str=Replace(Str,chr(58),"") '过滤SQL注入:
Str=Replace(Str,chr(59),"") '过滤SQL注入;
Str=Replace(Str,chr(43),"") '过滤SQL注入+
Str=Replace(Str,"{","") '过滤SQL注入{
Str=Replace(Str,"}","") '过滤SQL注入}
sqlcheck=Str '返回经过上面字符替换后的Str
end function
%>

时间: 2024-07-30 19:23:57

自己写一个防止SQL注入函数的相关文章

discuz的php防止sql注入函数

最近在做一个主题投票网站,客户懂一些程序方面的东西.有特别要求需要过滤一些字符防止sql注入.本来这方面就没有特别的研究过.呵呵,又发扬了一回拿来主义.把discuz论坛的sql防注入函数取了来! 复制代码 代码如下: $magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if

discuz的php防止sql注入函数_php技巧

最近在做一个主题投票网站,客户懂一些程序方面的东西.有特别要求需要过滤一些字符防止sql注入.本来这方面就没有特别的研究过.呵呵,又发扬了一回拿来主义.把discuz论坛的sql防注入函数取了来! 复制代码 代码如下: $magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if

过滤XSS攻击和SQL注入函数

/** +---------------------------------------------------------- The goal of this function is to be a generic function that can be used to parse almost any input and render it XSS safe. For more information on actual XSS attacks, check out http://ha.c

三款asp防sql注入函数

当我要获取一个数字型变量str value=saferequest("str",1,0) 这句的意思是:获取参数str中的值,并进行数字判断,不是数字的或者为空的时候,value就等于0,否则,value等于request("str")的值. function saferequest(paraname,paratype,lenlimit)  dim paravalue  paravalue = trim(request(paraname))  if paratype

老师让我用c#写一个类似sql格式化的工具,想问下原理是什么,如果有源码更好。

问题描述 如题 解决方案 解决方案二:没人吗?好急啊!!!!!!解决方案三:....说得也太含糊了点.....解决方案四:就是类似p/sql的那种格式化功能解决方案五:把关键字都大写,换色什么的?感觉是个麻烦的东西呢..要做的大概就是识别,更正2块吧..简单地写一写的话识别用contains,更正用replace就行了..不知道你具体要做到什么程度了..解决方案六:引用4楼tinydyw的回复: 把关键字都大写,换色什么的?感觉是个麻烦的东西呢..要做的大概就是识别,更正2块吧..简单地写一写的

如何写一个主函数去调用这个函数,求指导

问题描述 如何写一个主函数去调用这个函数,求指导 bool imageSubtract(IplImage* src IplImage* dst){ int row = 0;//行 int col = 0;//列 uchar* pSrcData = NULL; uchar* pDstData = NULL; int stepSrc = 0; int stepDst = 0; if (!src || !dst){ return 0;}if ((src->height != dst->height)

java 线程 sql qualz-如何写一个定时任务要每月的1号01:00执行这个sql

问题描述 如何写一个定时任务要每月的1号01:00执行这个sql 1C insert into test_dept_monthhours(yearmonthbranchsubtotal) select yearmonthbranchsum(dm)+sum(sm)+sum(smt)+sum(sup)+sum(ltnc) from ehruser.HO_DEPT_MONTHHOURS@traininglink where rownum<5 group by branchyearmonth 解决方案

PHP等语言SQL注入的问题

很多人在做开发的时候并没有注意到SQL的查询是可以被改掉的,其实SQL却是最不安全的因素之一,通过SQL,更有可能去直接执行系统命令,在服务器上新建用户,修改密码等操作也不是不可能. 直接 SQL 命令注入就是攻击者常用的一种创建或修改已有 SQL 语句的技术,从而达到取得隐藏数据,或覆盖关键的值,甚至执行数据库主机操作系统命令的目的.这是通过应用程序取得用户输入并与静态参数组合成 SQL 查询来实现的. $offset = $argv[0]; // 注意,没有输入验证! $query = "S

让SQL注入攻击危害最小化三大措施

使用用户提供的数据进行数据库查询的任何应用程序是SQL注入攻击的一个潜在目标.数据库管理员可能无法完全阻止针对其数据库服务器的SQL注入式攻击:但是,管理员们和应用程序开发人员可以做一些事情,将这些攻击的影响最小化. 数据库管理员可以做什么? 不要让数据库和Web服务器放在同一台计算机上 使用防火墙或不可路由的IP地址来阻止到数据库的互联网访问.一旦配置完毕,来自数据库服务器的数据包将不能被转发到互联网.在Web服务器上需要添加一条路由,这样才能找到数据库服务器. 配置可信任的IP接入和访问(例