怎么才能修改asp防注入网站过滤的字符?

来源:百度知道 编辑:UC知道 时间:2024/09/22 13:28:41
<%
SQL_injdata = "'|and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=JavaScript>alert("&chr(34)&"您提交的数据中包含敏感信息,出于安全因素,请修改数据后重新提交!具体敏感字串是:"& Sql_Inj(Sql_DATA) & chr(34)& ");history.back(-1)</Script>"
Response.end
end if
next
Next
End If
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=JavaScript>alert("&chr(34)&"您提交的数据中包含敏感信息,出于安全因素,请修改数据后重新提交!具体敏感字串是:"& Sql_Inj(Sql_DATA) & chr

如果你删除了and后,添加数据中含有and还提示非法字符,可能是你添加数据的页面调用的防注程序不是你修改的那个防注文件(看看你添加数据的页面调用的防注程序到底是哪个文件)

|and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare

比如你想取消,AND 就把AND删掉不就好了嘛

'|and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare

比如要取消and,改为下面的样子就可以了.

'|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare

按你的问题补充,要么你添加的东西里包含另外的非法字符,要么你引用的文件不是你修改过的文件.

同时删掉AND和后面的|