|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
asp,jsp,php是web开发的三大技术,asp简单易用且有microsoft做靠山,jsp功能强大是因为有java支持,php则开源跨平台.在国内,asp应用范围最广,jsp发展势头最猛,php则处于劣势.这可能与公司的支持以及技术的培训有关.数据|数据库<%该文件能够包括在任何必要挪用数据库的ASP文件头部,间接过虑失落不法注进
挪用办法为:<!--#includefile="safe.asp"-->
FunctionSafe(str)该函数用来判别传送过去的变量是不是包括特别字符,没有前往TRUE
Dims_BadStr,n,i
s_BadStr=" &?%,;:()`~!@#$^*{}[]|/+-="&Chr(34)&Chr(9)&Chr(32)
n=Len(s_BadStr)
Safe=True
Fori=1Ton
IfInstr(str,Mid(s_BadStr,i,1))>0Then
Safe=False
ExitFunction
EndIf
Next
EndFunction
以下代码间接判别产生哀求的URL是不是包括不法字符
OnErrorResumeNext
DimstrTemp
IfLCase(Request.ServerVariables("HTTPS"))="off"Then
strTemp="http://"
Else
strTemp="https://"
EndIf
strTemp=strTemp&Request.ServerVariables("SERVER_NAME")
IfRequest.ServerVariables("SERVER_PORT")80ThenstrTemp=strTemp&":"&Request.ServerVariables("SERVER_PORT")
strTemp=strTemp&Request.ServerVariables("URL")
IfTrim(Request.QueryString)""ThenstrTemp=strTemp&"?"&Trim(Request.QueryString)
strTemp=LCase(strTemp)
IfInstr(strTemp,"select%20")orInstr(strTemp,"insert%20")orInstr(strTemp,"delete%20from")orInstr(strTemp,"count(")orInstr(strTemp,"drop%20table")orInstr(strTemp,"update%20")orInstr(strTemp,"truncate%20")orInstr(strTemp,"asc(")orInstr(strTemp,"mid(")orInstr(strTemp,"char(")orInstr(strTemp,"xp_cmdshell")orInstr(strTemp,"exec%20master")orInstr(strTemp,"net%20localgroup%20administrators")orInstr(strTemp,"db_name(")orInstr(strTemp,"net%20user")orInstr(strTemp,"")orInstr(strTemp,"%20or")orInstr(strTemp,"backup%20")then
Response.Write"<scriptlanguage=javascript>"
Response.Write"alert(不法地点!!);"
Response.Write"location.href=http://www.myzone.cn;"
Response.Write"</script>"
EndIf
ForEachnameInRequest.Form
Dims_BadStr,s_Sz,i
s_BadStr="|and|select|update|chr|delete|from|;|insert|mid|master.|truncate|db_name|xp_cmdshell|exec%20master|net%20localgroup%20administrators|drop|table|db_name(|exec"
s_Sz=split(s_BadStr,"|")
Fori=0Toubound(s_Sz)
IfInstr(Request.Form(name),s_Sz(i))>0Then
Response.Write"<scriptlanguage=javascript>"
Response.Write"alert(不法地点!!);"
Response.Write"location.href=http://www.myzone.cn;"
Response.Write"</script>"
EndIf
Next
next
%>
</p>结论:和PHP一样,ASP简单而易于维护,很适合小型网站应用,通过DCOM和MTS技术,ASP甚至还可以完成小规模的企业应用,但ASP的致命缺点就是不支持跨平台的系统,在大型项目开发和维护上非常困难。 |
|