-
'过滤提交表单中的SQL
-
ฟังก์ชั่น ForSqlForm()
หรี่ fqys, errc, i, รายการ
ไม่มืดเลย(18)
nothis(0)="ผู้ใช้เน็ต"
nothis(1)="xp_cmdshell"
nothis(2)="/add"
nothis(3)="exec%20master.dbo.xp_cmdshell"
nothis(4)="ผู้ดูแลระบบ net localgroup"
nothis (5) = "เลือก"
nothis (6) = "นับ"
nothis (7) = "asc"
nothis (8) = "char"
nothis (9) = "กลาง"
nothis (10) = "'"
nothis ( 11)=///:
nothis(12)=""""
nothis(13)="insert"
nothis(14)="delete"
nothis(15)="drop"
nothis(16)="truncate"
nothis(17) )="จาก"
ไม่มีสิ่งนี้(18)="%"
'nothis(19)="@"
errc=false
สำหรับ i= 0 ถึง ubound (nothis)
สำหรับแต่ละรายการที่ต้องการแบบฟอร์ม
ถ้า instr(request.Form(items),nothis(i))<>0 แล้ว
response.write("<div>")
response.write("คุณ所填写的信息:" & server.HTMLEncode(request.Form(items)) & "<br>含非法字符:" & nothis(i))
response.write("</div>")
response.write("对不起,คุณ所填写的信息含非法字符!<a href=""#"" onclick=""history.back()"">返回</a>")
การตอบสนองสิ้นสุด()
สิ้นสุดถ้า
ต่อไป
ต่อไป
ฟังก์ชั่นสิ้นสุด
-
'คำสั่ง SQL
-
ฟังก์ชั่น ForSqlInjection()
fqys สลัว errc ฉัน
ไม่มืดเลย(19)
fqys = request.ServerVariables("QUERY_STRING")
nothis(0)="ผู้ใช้เน็ต"
nothis(1)="xp_cmdshell"
nothis(2)="/add"
nothis(3)="exec%20master.dbo.xp_cmdshell"
nothis(4)="ผู้ดูแลระบบ net localgroup"
nothis (5) = "เลือก"
nothis (6) = "นับ"
nothis (7) = "asc"
nothis (8) = "char"
nothis (9) = "กลาง"
nothis (10) = "'"
nothis ( 11)=///:
nothis(12)=""""
nothis(13)="insert"
nothis(14)="delete"
nothis(15)="drop"
nothis(16)="truncate"
nothis(17) )="จาก"
ไม่มีสิ่งนี้(18)="%"
nothis(19)="@"
errc=false
for i= 0 to ubound(nothis)
if instr(FQYs,nothis(i))<>0 แล้ว
errc=true
end ถ้า
ถัดไป
ถ้า errc แล้ว
response.write "查询信息含非法字符!<a href=""#"" onclick=""history.back()"">返回</a>"
response.end
สิ้นสุดถ้า
สิ้นสุดฟังก์ชัน