欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

asp 防止SQL注入代码

程序员文章站 2023-01-29 13:54:24
把下面代码复制到每个文件头部就可以防止sql注入了,写程序安全最重要 :) <% dim fy_url,fy_a,fy_x,fy_cs(),fy_cl,fy...
把下面代码复制到每个文件头部就可以防止sql注入了,写程序安全最重要 :)

<%
dim fy_url,fy_a,fy_x,fy_cs(),fy_cl,fy_ts,fy_zx
'---定义部份 头------
fy_cl = 1    '处理方式:1=提示信息,2=转向页面,3=先提示再转向
fy_zx = "error.asp"  '出错时转向的页面
'---定义部份 尾------

on error resume next
fy_url=request.servervariables("query_string")
fy_a=split(fy_url,"&")
redim fy_cs(ubound(fy_a))
on error resume next
for fy_x=0 to ubound(fy_a)
fy_cs(fy_x) = left(fy_a(fy_x),instr(fy_a(fy_x),"=")-1)
next
for fy_x=0 to ubound(fy_cs)
if fy_cs(fy_x)<>"" then
if instr(lcase(request(fy_cs(fy_x))),"'")<>0 or instr(lcase(request(fy_cs(fy_x))),"and")<>0 or instr(lcase(request(fy_cs(fy_x))),"select")<>0 or instr(lcase(request(fy_cs(fy_x))),"update")<>0 or instr(lcase(request(fy_cs(fy_x))),"chr")<>0 or instr(lcase(request(fy_cs(fy_x))),"delete%20from")<>0 or instr(lcase(request(fy_cs(fy_x))),";")<>0 or instr(lcase(request(fy_cs(fy_x))),"insert")<>0 or instr(lcase(request(fy_cs(fy_x))),"mid")<>0 or instr(lcase(request(fy_cs(fy_x))),"master.")<>0 then
select case fy_cl
 case "1"
response.write "<script language=javascript>alert(' 出现错误!参数 "&fy_cs(fy_x)&" 的值中包含非法字符串!\n\n 请不要在参数中出现:;,and,select,update,insert,delete,chr 等非法字符!\n\n你想干吗!不要做无聊的事情!谢谢!');window.close();</script>"
 case "2"
response.write "<script language=javascript>location.href='"&fy_zx&"'</script>"
 case "3"
response.write "<script language=javascript>alert(' 出现错误!参数 "&fy_cs(fy_x)&"的值中包含非法字符串!\n\n 请不要在参数中出现:;,and,select,update,insert,delete,chr 等非法字符!\n\n你想干吗!不要做无聊的事情!谢谢!');location.href='"&fy_zx&"';</script>"
end select
response.end
end if
end if
next
%>