补上您的网站露洞网站防止SQL注入跨站攻击

服务热线：0579-85905398 85905399 传真：0579-85905460 投诉：0579-85905455 QQ咨询：

做客户最满意的义乌网站建设、义乌网络公司服务商！亲切、开放、严谨、诚信、热忱！

立天服务项目

	5年互联网服务经验,成就非凡
	7×24小时不间断服务:13429027500
	专业的技术团队,高素质的客服人员

常见问题

义乌网站建设--网站如何备案?

义乌网站推广--企业应如何建设营销型网站?

义乌网站优化--谈谈最基本的SEO你做了吗?

新闻中心

补上您的网站露洞网站防止SQL注入跨站攻击

文章来源：义乌立天网络发表于：2012-2-4

网站攻出，从大型网站和普通企业网站都被不良用心者盯上，如何堵住源头，不仅仅是服务器提供商的责任，更是网站程序员应考虑的问题！义乌立天网络6年的义乌网站建设服务经验出发谈谈如何防止SQL注入？

网站攻击大多来源于网站数据提交过滤的问题：过滤直接提交是程序员防范攻击的重点之一：过滤用户输入加有效的验证码能起到很好的保护网站安全的作用！网上下载的普通验证码已经不起作用了！写一个安全高效的验证码很重要~关于过滤的方法每个人想法不一样，写法有较大的区别，下面是我们针对ASP程序写的一种过滤方法：

strTemp = Request.ServerVariables("URL")

If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)
If Trim(Request.Form) <> "" Then strTemp = strTemp & "?" & Trim(Request.Form)

sqlerr="NO"
strTesl = strTemp
strTemp = strTemp & Request("id") & Request("xid") & Request("aa") & Request("bb") & Request("cc") & Request("dd") & Request("ff") & Request("ee") & Request("jj")

If Instr(strTemp,"select") or Instr(strTemp,"insert") or Instr(strTemp,"delete from") or Instr(strTemp,"count(") or Instr(strTemp,"drop table") or Instr(strTemp,"update") or Instr(strTemp,"truncate") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec master") or Instr(strTemp,"net localgroup administrators") or Instr(strTemp," : ") or Instr(strTemp,"net user") or Instr(strTemp,"'") or Instr(strTemp,"""") or Instr(strTemp," or ") or Instr(strTemp,"script") or Instr(strTemp,"textarea") or Instr(strTemp,"iframe") or Instr(strTemp,"alert") or Instr(strTemp,"onmouseover") then

response.write "对不起，您输入的内容可能包含非法字符。<br>系统仅允许输入中英文、数字及常用字符(如+、-、*、/、=、.等)。<br>禁止特殊符号（含'号）及select、insert、iframe等命令词符。<br>为了系统和您的安全，请返回重新输入。谢谢。"
response.end
end if

if len(Request("id"))>100 or len(Request("gid"))>100 or len(Request("sele"))>100 or len(Request("sele2"))>100 or len(Request("search"))>100 or len(Request("text"))>100 or len(Request("fl"))>100 or len(Request("zpname"))>100 or len(Request("cxjx"))>100 or len(Request("beex"))>100 or len(Request("ze"))>100 or len(Request("tel"))>100 or len(Request("add"))>100 or len(Request("mail"))>100 or len(Request("lsdz"))>100 or len(Request("doc"))>100 or len(Request("jl"))>100 or len(Request("xb"))>100 or len(Request("xezx"))>100 or len(Request("xl"))>100 or len(Request("besj"))>100 or len(Request("lename"))>100 or len(Request("lemail"))>100 or len(Request("qh_ez"))>100 or len(Request("ad_name"))>100 or len(Request("ad_pas"))>100 or len(Request("lyname"))>100 or len(Request("lygss"))>100 or len(Request("fax"))>100 or len(Request("eb"))>100 or len(Request("bt"))>100 or len(Request("em"))>100 or len(Request("new"))>100 or len(Request("oth1"))>100 or len(Request("oth2"))>100 or len(Request("oth3"))>100 or len(Request("nr"))>1000 or len(Request("lenr"))>1000 then

response.write "对不起，您输入部分内容过长，请缩减长度，请返回重新输入。谢谢。"
response.end
end if

php防注入可能用正则和系统涵数addslashes，mysql_real_escape_string等,结合使用，能起到很好的防范效果！