Función SafeRequest(ParaName,ParaType)
'--- Pasar parámetros---
'ParaName: nombre del parámetro - tipo de carácter
'ParaType: Tipo de parámetro - tipo numérico (1 indica que los parámetros anteriores son números, 0 indica que los parámetros anteriores son caracteres)
Dim ParaValue
ParaValue=Solicitud(ParaName)
Si ParaType=1 entonces
Si no es numérico (ParaValue), entonces
¡El parámetro Response.write y ParaName y deben ser numéricos!
Respuesta.fin
terminar si
Demás
ParaValue=reemplazar(ParaValue, ', ' ')
terminar si
SafeRequest=ParaValor
Función final
Utilice SafeRequest(ParaName,ParaType) en lugar de request.form() y request..querystring()
************************************************** * ************************************************* ** *****
-------------------------------------------------- -------------------------------------------------- ---------------------------------------
************************************************** * ************************************************* ** *****
<%
tenue sql_injdata
sql_injdata= '|y|exec|insertar|seleccionar|eliminar|actualizar|recuento|*|%|chr|mid|master|truncar|char|declarar
sql_injHint=reemplazar(sql_injdata,|, )
sql_injHint=reemplazar(sql_injHint, ', ')
sql_inj=dividir(sql_injdata,|)
si request.querystring<> entonces
para cada getData en request.querystring
para i=0 a ubound(sql_inj)
si instr(lcase(request.querystring(getData)),sql_inj(i))>0 entonces
sugerencia=alert( 'Para garantizar la seguridad de la información del usuario, no utilice caracteres de inyección ilegales. Los siguientes caracteres son ilegales: @sql_injHint@ ');
sugerencia=reemplazar(sugerencia,@sql_injHint@,sql_injHint)
respuesta.write <lenguaje de escritura = javascript>
respuesta.escribir sugerencia
respuesta.escribir historial.volver()
respuesta.escribir </script>
respuesta.fin
terminar si
próximo
próximo
terminar si
si request.form<> entonces
para cada getData en request.querystring
para i=0 a ubound(sql_inj)
si instr(lcase(request.form(getData)),sql_inj(i))>0 entonces
sugerencia=alert( 'Para garantizar la seguridad de la información del usuario, no utilice caracteres de inyección ilegales. Los siguientes caracteres son ilegales: @sql_injHint@ ');
sugerencia=reemplazar(sugerencia,@sql_injHint@,sql_injHint)
respuesta.write <lenguaje de escritura = javascript>
respuesta.escribir sugerencia
respuesta.escribir historial.volver()
respuesta.escribir </script>
respuesta.fin
terminar si
próximo
próximo
terminar si
%>Forme este código en un archivo (como: defanj.asp) y agregue todos los archivos que deben usarse en la base de datos al encabezado <!--#include file=defanj.asp-->