'=========================
'Производство SQL-запросов
'=========================
функция ФорСклФорм()
dim fqys,errc,i,items
дим ноти(18)
nothis(0)="сетевой пользователь"
nothis(1)="xp_cmdshell"
nothis(2)="/add"
nothis(3)="exec%20master.dbo.xp_cmdshell"
nothis(4)="сетевые администраторы локальной группы"
nothis(5)="выбрать"
nothis(6)="count"
nothis(7)="asc"
nothis(8)="char"
nothis(9)="mid"
nothis(10)="'"
nothis( 11)=":"
nothis(12)=""""
nothis(13)="insert"
nothis(14)="удалить"
nothis(15)="удалить"
nothis(16)="усечь"
nothis(17) )="from"
nothis(18)="%"
'nothis(19)="@"
errc=false
для i= 0 до ubound(nothis)
для каждого элемента в запросе. Форма
если instr(request.Form(items),nothis(i))<>0 тогда
response.write("<div>")
response.write("你所填写的信息:" & server.HTMLEncode(request.Form(items)) & "<br>含非法字符:" & nothis(i))
ответ.write("</div>")
response.write("对不起,你所填写的信息含非法字符!<a href=""#"" onclick=""history.back()"">返回</a>")
ответ.Конец()
конец, если
следующий
следующий
конечная функция
'=========================
'Освобождение от SQL
'=========================
функция ForSqlInjection()
дим fqys,errc,я
дим ноти(19)
fqys = request.ServerVariables("QUERY_STRING")
nothis(0)="сетевой пользователь"
nothis(1)="xp_cmdshell"
nothis(2)="/add"
nothis(3)="exec%20master.dbo.xp_cmdshell"
nothis(4)="сетевые администраторы локальной группы"
nothis(5)="выбрать"
nothis(6)="count"
nothis(7)="asc"
nothis(8)="char"
nothis(9)="mid"
nothis(10)="'"
nothis( 11)=":"
nothis(12)=""""
nothis(13)="insert"
nothis(14)="удалить"
nothis(15)="удалить"
nothis(16)="усечь"
nothis(17) )="from"
nothis(18)="%"
nothis(19)="@"
errc=false
для i= 0 до ubound(nothis)
, если instr(FQYs,nothis(i))<>0 then
errc=true
end if
next
if errc then
response.write "查询信息含非法字符!<a href=""#"" onclick=""history.back()"">返回</a>"
ответ.end
конец, если
функция завершения