haimav
- 浏览: 54269 次
- 性别:
- 来自: 北京
-
最新评论
实施修复,方法有很多在这里介绍两种,咱们使用第2种
方法1: Replace过滤字符
解决方法:查找login.asp下的<from找到下边的类似
| username=request.Form("name") pass=request.Form("pass") |
修改为:
| username=Replace(request.Form("name"), "’", "’’") pass=Replace(request.Form("pass"), "’", "’’") |
语法是屏蔽’和’’字符来达到效果.
方法2:在conn.asp 内加入<!--#include file="safe.asp"-->
注:(前提 登陆页面有<!--#include file="conn.asp"-->)
把以下代码保存为safe.asp
qq:11422265
下面是程序代码********************************************************
| <% Dim Query_Badword,Form_Badword,i,Err_Message,Err_Web,name Err_Message = 3 Err_Web = "safe.htm" ’出错时转向的页面 Query_Badword="’|and|select|update|chr|delete|%20from|;|insert|mid|master.|set|chr(37)|=" ’在这部份定义get非法参数,使用"|"号间隔 Form_Badword="’|(|)|;|=" ’在这部份定义post非法参数,使用"|"号间隔 On Error Resume Next if request.QueryString<>"" then Chk_badword=split(Query_Badword,"|") FOR EACH Query_Name IN Request.QueryString for i=0 to ubound(Chk_badword) If Instr(LCase(request.QueryString(Query_Name)),Chk_badword(i))<>0 Then Select Case Err_Message Case "1" Response.Write "<Script Language=JavaScript>alert(’传参错误!参数 "&name&" 的值中包含非法字符串!\n\n请不要在参数中出现:and update delete ; insert mid master 等非法字符!’);window.close();</Script>" Case "2" Response.Write "<Script Language=JavaScript>location.href=’"&Err_Web&"’</Script>" Case "3" Response.Write "<Script Language=JavaScript>alert(’传参错误!参数 "&name&"的值中包含非法字符串!\n\n请不要在参数中出现:and update delete ; insert mid master 等非法字符!’);location.href=’"&Err_Web&"’;</Script>" End Select Response.End End If NEXT NEXT End if if request.form<>"" then Chk_badword=split(Form_Badword,"|") FOR EACH name IN Request.Form for i=0 to ubound(Chk_badword) If Instr(LCase(request.form(name)),Chk_badword(i))<>0 Then Select Case Err_Message Case "1" Response.Write "<Script Language=JavaScript>alert(’出错了!表单 "&name&" 的值中包含非法字符串!\n\n你的非法操作已记录,请马上停止非法行为!’);window.close();</Script>" Case "2" Response.Write "<Script Language=JavaScript>location.href=’"&Err_Web&"’</Script>" Case "3" Response.Write "<Script Language=JavaScript>alert(’唐山味儿不浓 告诉您出错了!参数 "&name&"的值中包含非法字符串!\n\谢谢您光临!,请停止非法行为!’);location.href=’"&Err_Web&"’;</Script>" End Select Response.End End If NEXT NEXT end if %> |
分享到:
发表评论
-
ASP与PHP比较
2009-09-28 23:17 660ASP与PHP比较──────┐ ☆注释符号☆│******* ... -
同时提交两个表单
2009-09-28 18:16 1192<script> function tes ... -
用html提交表单
2009-09-28 18:16 1930方法一: <html> <head> ... -
隐藏滚动条的控制
2009-09-28 18:13 11411)隐藏滚动条<body style="ove ... -
asp 字符串包含函数
2009-09-28 18:11 994asp 字符串包含函数 <%ab="abcd ... -
防止外部提交表单
2009-09-28 18:11 726<% server_v1=Cstr(Request.S ... -
TXT生成MDB文件转ACCESS
2009-09-28 18:10 1298<%on error resume nextset co ... -
ASP内置对象Request的ServerVariables集合列表
2009-09-28 18:09 1113Request.ServerVariables("U ... -
内容复制后增加版权信息
2009-09-28 18:08 675<body >www.xinwanglu.cn 新 ... -
ASP生成html的新方法
2009-09-28 18:06 958已经有很多生成html的新闻系统,但是都是用的模板,本函数实现 ... -
27个不错的ASP代码
2009-09-28 18:02 7501. oncontextmenu="window.e ... -
用ASP实现上下线
2009-09-28 18:00 732用ASP实现上下线,方法是用来在线刷新的时间来做到。 一: ... -
如何 在SQL中删除重复的数据行
2009-09-28 18:00 1762有两个意义上的重复记录,一是完全重复的记录,也即所有字段均重复 ... -
用ASP发送EMAIL
2009-09-28 17:59 707<%function SendMail(ToAddres ... -
用户ASP中读出数据库名,表名,和字段名SQL的也行
2009-09-28 14:23 858<%'---------------读access库中的 ... -
用asp把一个单词分割成一个个字母
2009-09-28 14:17 743<% Dim StrStr="mynam ... -
ASP 只截取字符串的数字
2009-09-28 14:15 1130<%function RegExpTestsp(str, ... -
破解MD5的网站
2009-09-28 13:43 911http://www.md5.com.cn (一亿以上数据)h ... -
asp与数据库 总结与收集
2009-09-23 12:09 712关联文章 http://haimav.itey ... -
点击按钮打开 输入的链接
2009-09-14 21:56 7871、输出到框 <input type=text na ...
相关推荐
goby poc or exp,分享goby最新网络安全漏洞检测或利用代码.zip
‘or’万能密码漏洞的修补 方法1: Replace过滤字符 解决方法:查找login.asp下的找到下边的类似 username=request.Form("name") pass=request.Form("pass") 修改为:------------------
(2)如果Request<or=Available,则转向步骤(3);否则,表示系统中尚无足够的资源,进程必须等待。 (3)系统试探把要求的资源分配给进程Pi,并修改下面数据结构中的数值: Available=Available-Request[i]; ...
公有云or私有云,数据安全问题不必纠结.pdf公有云or私有云,数据安全问题不必纠结.pdf公有云or私有云,数据安全问题不必纠结.pdf公有云or私有云,数据安全问题不必纠结.pdf公有云or私有云,数据安全问题不必纠结.pdf公有...
使用git Bash here闪退并生成mintty.exe.stackdump文件 cmd使用git 报错 fatal:open /dev/null or dup failed: No such file or directory 并弹出mitty.dump文件 使用方法见我的CSDN
and_or_vote,三种硬判决准则对比
普通能量检测、AND融合准则和OR融合准则的性能对比
What is a Noisy-OR Model I am interested with the paper "Noisy-OR Component Analysis and its Application to Link Analysis" published by Tomas Singliar and Milos Hauskrecht on JMLR 7 (2006). A very ...
image segmentor emulating eCognition's Multiresolution segmentation source code and user guide博文中指的编译好的Release 版本,可在windows环境中运行。
Some-PoC-oR-ExP(各种漏洞poc、Exp的收集或编写)
基于Vue和JavaScript的开源软件漏洞检测系统源码+使用教程.zip ## Install the dependencies ```bash yarn # or npm install ``` ### Start the app in development mode (hot-code reloading, error reporting, ...
通常,结果表明,受教育程度,尤其是高等教育程度显着提高(OR = 0.53,95%= 0.230,0.837),这增加了进行艾滋病毒检测的可能性。 同样,年龄组越年轻,进行艾滋病毒检测的可能性和意义就越高。 我们发现HIV-TB...
当页面编辑或运行提交时,出现“从客户端中检测到有潜在危险的request.form值”问题,该怎么办呢?如下图所示: 下面博主汇总出现这种错误的几种解决方法: 问题原因:由于在asp.net中,Request提交时出现有html...
if n == 0 or n == 1: return 1 else: return n * factorial(n-1) def factorial_sum(n): digits = [int(digit) for digit in str(n)] factorial_sum = sum(factorial(digit) for digit in digits) return ...
Office 修复OR卸载流程.pdf
error C1083: 无法打开包括文件:“gl\GLAux.h”: No such file or directory 原来是:#include 出错 ==================================================== 解决方法如下: 1:下载此资源包 2:【glaux.dll】 复制...
目的:评估达格列净治疗2型糖尿病(T2DM)的安全性。 方法:截至2018年2月,系统地搜索了Pubmed,Embase,Cochrance图书馆,Web of Science,CNKI,Wanfang Data和VIP数据库,以比较达格列净与安慰剂的随机对照试验...
编译工具 or32-uclinux.rar编译工具 or32-uclinux.rar编译工具 or32-uclinux.rar