我的ASP网站总是注入一些脚本怎么解决
搞的网站访问不了
清高手指点
首先确定程序是不是自己写的
如果是自己写的做到以下几点
1。有通过URL或者表单获取的数据全部做安全检查,如文章根据ID显示的,搜索等,获取的是数字类型就INT或者CLNG下,强制为数字,不是数值去网络上找防注入函数
2。将数据库修改为复杂名称,写的自己都不记得最好
3。查看上传图片的页面是不是不登陆就可以打开
4。注意服务器安全
5。检查管理员帐户是不是有弱口令
6。修改后台路径
防住上传和SQL注入基本就防住大部分入侵者,大不人都是挂马赚钱的,不会很长时间研究一个站
如果是自己写的做到以下几点
1。有通过URL或者表单获取的数据全部做安全检查,如文章根据ID显示的,搜索等,获取的是数字类型就INT或者CLNG下,强制为数字,不是数值去网络上找防注入函数
2。将数据库修改为复杂名称,写的自己都不记得最好
3。查看上传图片的页面是不是不登陆就可以打开
4。注意服务器安全
5。检查管理员帐户是不是有弱口令
6。修改后台路径
防住上传和SQL注入基本就防住大部分入侵者,大不人都是挂马赚钱的,不会很长时间研究一个站
温馨提示:答案为网友推荐,仅供参考
第1个回答 2009-10-26
<%
Dim SQLPost, SQLGet, SQLIn, SQLInf, SQLXh, SQLdb, SQLdbstr
SQLIn = "'|;|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQLInf = Split(SQLIn, "|")
If Request.Form<>"" Then
For Each SQLPost In Request.Form
For SQLXh = 0 To UBound(SQLInf)
If InStr(LCase(Request.Form(SQLPost)), SQLInf(SQLXh))<>0 Then
Response.Write "<Script Language='JavaScript'>alert('警告:参数非法!');</Script>"
Response.End
End If
Next
Next
End If
If Request.QueryString<>"" Then
For Each SQLGet In Request.QueryString
For SQLXh = 0 To UBound(SQLInf)
If InStr(LCase(Request.QueryString(SQLGet)), SQLInf(SQLXh))<>0 Then
Response.Write "<Script Language='JavaScript'>alert('警告:参数非法!');</Script>"
Response.End
Response.End
End If
Next
Next
End If
%>
把这段代码放在一个公共的文件吧,前台每个页面都调用
Dim SQLPost, SQLGet, SQLIn, SQLInf, SQLXh, SQLdb, SQLdbstr
SQLIn = "'|;|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQLInf = Split(SQLIn, "|")
If Request.Form<>"" Then
For Each SQLPost In Request.Form
For SQLXh = 0 To UBound(SQLInf)
If InStr(LCase(Request.Form(SQLPost)), SQLInf(SQLXh))<>0 Then
Response.Write "<Script Language='JavaScript'>alert('警告:参数非法!');</Script>"
Response.End
End If
Next
Next
End If
If Request.QueryString<>"" Then
For Each SQLGet In Request.QueryString
For SQLXh = 0 To UBound(SQLInf)
If InStr(LCase(Request.QueryString(SQLGet)), SQLInf(SQLXh))<>0 Then
Response.Write "<Script Language='JavaScript'>alert('警告:参数非法!');</Script>"
Response.End
Response.End
End If
Next
Next
End If
%>
把这段代码放在一个公共的文件吧,前台每个页面都调用