这句怎么改下,才能防止注入。

测试了一下,提示下面这句有问题,有可能注入,请高手帮帮,怎么改下。
<script language="JavaScript" src="News/JSNewsnyzx.asp?cataid=A0041&words=19&num=9&l_r=636d6f&l_d=ok&l_p=62"></script>在线等!急

解决方案 »

  1.   

    cataid=A0041&words=19&num=9&l_r=636d6f&l_d=ok&l_p=62用变量代替
      

  2.   

    所谓的输入不是你那里的url 的问题。问题是出在,接收参数不作检验,然后sql 直接拼接,同时发生就会有漏洞了。参数是数值型的地方,如果做了检验,人家根本没法注入了。sql 拼接是非常垃圾的作法,使用ADO.net 参数的形式才能保证。
      

  3.   

    有点明白了,问题是不在这句,而在JSNewsnyzx.asp这个文件里面,要做判断,是不是这样?
      

  4.   

    你问题都没说明白,但是我知道你是什么意思。你是在文本框里面输入那个字符串后提交时会报错对不对?在aspx页面最顶上的那一句里面加一个ValidRequest="False"就行了。
      

  5.   

    url传几个参数  和注入是没有关系的    关键在于你接收参数之后 怎么去处理    你先说说你接收参数之后 写了什么   或者把代码发出来看看
      

  6.   

    有点明白了,问题是不在这句,而在JSNewsnyzx.asp这个文件里面,要做判断,是不是这样? 对
      

  7.   

    防sql注入  给url没关系吧。。  后台接收参数后  检查一下就可以了吧。把危险字符过滤一下。
      

  8.   

    用参数化查询来执行SQL命令。我个人不喜欢过滤。参考http://blog.csdn.net/wolfpkfox/article/details/5143707
      

  9.   

    fuck !
    JS{
     var canshu=XXXX;
     if(canshu.indexof('\'')){
      alert("请速度去自首,你的IP已被监控了!");
    }
    }
      

  10.   

    你是用工具检测 提示可能有漏洞吗 ,提示说的是sql注入漏洞在News/JSNewsnyzx.asp这个文件里,不在html里,而且不一定有注入漏洞,你得把News/JSNewsnyzx.asp里的sql语句拿出来
    工具检测链接含有xxx.asp?aa=123 这种格式的都会提示有sql注入风险的
      

  11.   

    你把News/JSNewsnyzx.asp这个文件里的sql语句贴出来