网站注入漏洞问题?解决另外送分100,送券50!

经朋友指出,我的网站 www.cdbook.cn
存在严重的sql注入漏洞请教各位:能不能帮忙解决解决
解决后另外送分,送本站的购书券50元!

解决方案 »

  1.   

    哪里有?http://www.cdbook.cn/book.asp?id=698s 这里也算一个。除了 ' 之外,还要注意; % * () 这些。
      

  2.   

    数据查询之类
    全部用存贮过程 还有就是字符串做过参数(Url 中的)时严格过滤.....
    下边是petshop 中的过滤
    http://www.cnblogs.com/gwazy/archive/2005/05/12/153752.html
      

  3.   

    SQL注入天书之ASP注入漏洞全接触:
    http://tech.sina.com.cn/s/s/2005-01-11/1138500549.shtml有一定帮助
      

  4.   

    这里有详细介绍http://www.blueidea.com/tech/program/2004/1810.asp
      

  5.   

    成都的书店......
    随便看了下,没有登陆
    book.asp和class.asp两个页面的参数过滤都没做好
      

  6.   

    http://community.csdn.net/Expert/topic/3803/3803170.xml?temp=1.987857E-02这个贴子很好,我已经收藏,仔细看看,帮助很大。
      

  7.   

    你下载个domain3.2版本的去攻击一下看看代码在哪些页面存在漏洞好了.
      

  8.   

    http://tech.sina.com.cn/s/s/2005-01-11/1138500550.shtml上面一位仁兄提到的这个系统文章,讲得确实不错..应该足够你掌握和学习了..关注ing..
      

  9.   

    用asp写的吗?用isnumeric把参数过滤一下可以防止一般的注入
      

  10.   

    你这样试试..看到出错了没有呀?.这个地方就可以SQL注入了..
    http://www.cdbook.cn/book.asp?id=545fd (ID的值不是数字型就会出错啦..)
    最好的读取这个ID值做一个过虑:isnumeric(id)=true就是数字.=false就不是数字!
    防SQL注入一些建议:
    1,最好用存储过程.既快又不会有注入问题.
    2,在写程序时多加注意,多做一下过虑判断!比如像"'".
    哈哈..我也只是知道一些罢了..防SQL注入主要是写程序过程来防的.
      

  11.   

    确实是啊,很危险啊。这几个地方一定要过滤的:
    http://www.cdbook.cn/Class.asp?zid=18
    http://www.cdbook.cn/Class.asp?aid=22&nid=229在Class.asp页面开始的地方加入:if not  isnumeric(zid) then 
       response.write("非法输入!")
       response.end()
    end if
      

  12.   

    '过滤入侵字符
    StrTemp=request.servervariables("server_name")&request.servervariables("url")&"?"&Request.QueryString
    StrTemp = LCase(StrTemp)
    If Instr(StrTemp,"select%20") or Instr(StrTemp,"insert%20") or Instr(StrTemp,"delete%20from") or Instr(StrTemp,"count(") or Instr(StrTemp,"drop%20table") or Instr(StrTemp,"update%20") or Instr(StrTemp,"truncate%20") or Instr(StrTemp,"asc(") or Instr(StrTemp,"mid(") or Instr(StrTemp,"char(") or Instr(StrTemp,"xp_cmdshell") or Instr(StrTemp,"exec%20master") or Instr(StrTemp,"net%20localgroup%20administrators") or Instr(StrTemp,"net%20user") or Instr(StrTemp,"%20or%20") or Instr(StrTemp,"'") or Instr(StrTemp,"%20") or Instr(StrTemp,"""") or Instr(StrTemp,""") or Instr(StrTemp,""") or Instr(StrTemp,":") or Instr(StrTemp,":") or Instr(StrTemp,";") or Instr(StrTemp,";") or Instr(StrTemp,",") or Instr(StrTemp,",") or Instr(StrTemp,"-") or Instr(StrTemp,"%27") then
    Response.Write "<script language='javascript'>alert('非法操作!立即返回!');history.back();</script>"
    Response.end
    End If