我的数据库老本注入了,经过分析发现,很多字段都在后面加了script脚本
但是只要字段是空的就没有被注入,有值的都被注入了我在每个网页的前面都加了如下的防范措施:
Dim sql_injdata
Dim SQL_inj
Dim SQL_Get
Dim SQL_Data
Dim Sql_Post
SQL_injdata = "--|exec|insert|select|delete|update|count|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
If instr(LCase(Request.QueryString(SQL_Get)),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=javascript>alert('系统提示包含非法字符:"&Sql_Inj(Sql_DATA)&"\n请去掉内容中的该字符再次提交!');history.back(-1)</Script>"
Response.End
End If
Next
Next
End If If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
If instr(LCase(Request.Form(Sql_Post)),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=javascript>alert('系统提示包含非法字符:"&Sql_Inj(Sql_DATA)&"\n请去掉内容中的该字符再次提交!');history.back(-1)</Script>"
Response.End
End If
Next
Next
End If
但是还是被注入了,请问还有那些需要做的,谢谢!
但是只要字段是空的就没有被注入,有值的都被注入了我在每个网页的前面都加了如下的防范措施:
Dim sql_injdata
Dim SQL_inj
Dim SQL_Get
Dim SQL_Data
Dim Sql_Post
SQL_injdata = "--|exec|insert|select|delete|update|count|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
If instr(LCase(Request.QueryString(SQL_Get)),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=javascript>alert('系统提示包含非法字符:"&Sql_Inj(Sql_DATA)&"\n请去掉内容中的该字符再次提交!');history.back(-1)</Script>"
Response.End
End If
Next
Next
End If If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
If instr(LCase(Request.Form(Sql_Post)),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=javascript>alert('系统提示包含非法字符:"&Sql_Inj(Sql_DATA)&"\n请去掉内容中的该字符再次提交!');history.back(-1)</Script>"
Response.End
End If
Next
Next
End If
但是还是被注入了,请问还有那些需要做的,谢谢!
http://topic.csdn.net/u/20081205/09/3dd06076-bcbe-45d4-998c-8999fdbe6fae.html
http://social.technet.microsoft.com/Forums/zh-TW/sqlservermanagementzhcht/thread/218aba6e-6315-40db-b2e3-687beb05915f
go
DENY SELECT on dtproperties to 程序里面的连接数据库啊的用户;
DENY SELECT on syscolumns to 程序里面的连接数据库啊的用户;
DENY SELECT on sysdepends to 程序里面的连接数据库啊的用户;
DENY SELECT on sysfilegroups to 程序里面的连接数据库啊的用户;
DENY SELECT on sysfiles to 程序里面的连接数据库啊的用户;
DENY SELECT on sysforeignkeys to 程序里面的连接数据库啊的用户;
DENY SELECT on sysfulltextcatalogs to 程序里面的连接数据库啊的用户;
DENY SELECT on sysindexkeys to 程序里面的连接数据库啊的用户;
DENY SELECT on sysobjects to 程序里面的连接数据库啊的用户;
DENY SELECT on sysmembers to 程序里面的连接数据库啊的用户;
DENY SELECT on syspermissions to 程序里面的连接数据库啊的用户;
DENY SELECT on sysproperties to 程序里面的连接数据库啊的用户;
DENY SELECT on sysprotects to 程序里面的连接数据库啊的用户;
DENY SELECT on sysreferences to 程序里面的连接数据库啊的用户;
DENY SELECT on systypes to 程序里面的连接数据库啊的用户;