함수 SafeRequest(ParaName,ParaType)
'--- 매개변수 전달---
'ParaName: 매개변수 이름 - 문자 유형
'ParaType: 매개변수 유형 - 숫자 유형(1은 위 매개변수가 숫자임을 나타내고, 0은 위 매개변수가 문자임을 나타냄)
희미한 파라값
ParaValue=요청(ParaName)
ParaType=1이면
isNumeric(ParaValue)가 아닌 경우
Response.write 매개변수 & ParaName &은 숫자여야 합니다!
응답.끝
다음과 같은 경우 종료
또 다른
ParaValue=교체(ParaValue, ', ' ')
다음과 같은 경우 종료
SafeRequest=ParaValue
기능 종료
request.form() 및 request..querystring() 대신 SafeRequest(ParaName,ParaType)를 사용하세요.
************************************************** * ************************************************* ** *****
------------------------------------- ------------------------------------- --------------------------
************************************************** * ************************************************* ** *****
<%
희미한 sql_injdata
sql_injdata= '|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
sql_injHint=교체(sql_injdata,|, )
sql_injHint=교체(sql_injHint, ', ')
sql_inj=분할(sql_injdata,|)
request.querystring<>이면
request.querystring의 각 getData에 대해
i=0에서 ubound(sql_inj)로
if instr(lcase(request.querystring(getData)),sql_inj(i))>0 then
힌트=alert( '사용자 정보 보안을 위해 불법 삽입 문자를 사용하지 마십시오. 다음 문자는 불법입니다. @sql_injHint@ ');
힌트=교체(힌트,@sql_injHint@,sql_injHint)
response.write <스크립트 언어=자바스크립트>
응답.힌트 쓰기
response.write 히스토리.back()
응답.쓰기 </script>
응답.끝
종료하면
다음
다음
종료하면
request.form<>이면
request.querystring의 각 getData에 대해
i=0에서 ubound(sql_inj)로
if instr(lcase(request.form(getData)),sql_inj(i))>0 그러면
힌트=alert( '사용자 정보 보안을 위해 불법 삽입 문자를 사용하지 마십시오. 다음 문자는 불법입니다. @sql_injHint@ ');
힌트=교체(힌트,@sql_injHint@,sql_injHint)
response.write <스크립트 언어=자바스크립트>
응답.힌트 쓰기
response.write 히스토리.back()
응답.쓰기 </script>
응답.끝
종료하면
다음
다음
종료하면
%>이 코드를 파일(예: defanj.asp)로 구성하고 데이터베이스에서 사용해야 하는 모든 파일을 헤더 <!--#include file=defanj.asp-->에 추가합니다.