游乐游手机版
首页/编程语言/文章详情

ASP防SQL注入攻击技巧实例教程详解

时间:2026-05-07 13:00
引言 在ASP项目中,如果SQL查询直接使用了字符串拼接,那么整个应用就向SQL注入攻击敞开了大门。这可不是危言耸听,而是无数安全事件反复验证过的现实。好在,我们手头有两件相当趁手的“武器”来加固防线:敏感词过滤与参数化语句。接下来,我们就来深入聊聊这两种方法的实战应用。 敏感词过滤 Dim Fy_

引言

在ASP项目中,如果SQL查询直接使用了字符串拼接,那么整个应用就向SQL注入攻击敞开了大门。这可不是危言耸听,而是无数安全事件反复验证过的现实。好在,我们手头有两件相当趁手的“武器”来加固防线:敏感词过滤与参数化语句。接下来,我们就来深入聊聊这两种方法的实战应用。

敏感词过滤

Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr,Kill_IP,WriteSql
'自定义需要过滤的字串,用 "|" 分隔
Fy_In = "'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|exist|drop"
Kill_IP=True
WriteSql=True           '----------------------------------
Fy_Inf = split(Fy_In,"|")
'--------POST部份------------------
If Request.Form<>"" Then
    For Each Fy_Post In Request.Form
        For Fy_Xh=0 To Ubound(Fy_Inf)
            If Instr(LCase(Request.Form(Fy_Post)),Fy_Inf(Fy_Xh))<>0 Then
            Response.Redirect "/index.asp"
            Response.End
            End If
        Next
    Next
End If
If Request.QueryString<>"" Then
    For Each Fy_Get In Request.QueryString
        For Fy_Xh=0 To Ubound(Fy_Inf)
            If Instr(LCase(Request.QueryString(Fy_Get)),Fy_Inf(Fy_Xh))<>0 Then
            Response.Redirect "/index.asp"
            Response.End
            End If
        Next
    Next
End If

这段代码的核心思路很直接:在用户提交的数据(无论是POST表单还是GET参数)流入系统之初,就进行一次“安检”。它会遍历一个预定义的敏感词清单(比如“select”、“exec”、“drop”等常见的SQL关键字和特殊字符),一旦发现匹配项,立刻将请求重定向到首页或其他安全页面,从而将恶意代码拦截在数据库之外。这种方法好比一道基础的防火墙,能有效过滤掉大量初级、通用的攻击脚本。

参数化

Public Function execSqlOpen(connect,cursorType,lockType,args())
      set cmdTemp = server.CreateObject("ADODB.Command")
          cmdTemp.ActiveConnection = connect
          cmdTemp.Prepared = true
          cmdTemp.CommandText = args(0)
    Dim i
          For i = 1 To UBound(args)
             set paramTemp = cmdTemp.CreateParameter("",201,1,Len(args(i))+10,args(i))
        cmdTemp.Parameters.Append paramTemp
        Next
             set rsTemp=server.CreateObject("adodb.recordset")
          rsTemp.open cmdTemp,,cursorType,lockType
          set execSqlOpen = rsTemp
end function
Public Function execSqlExecute(connect,args())
      set cmdTemp = server.CreateObject("ADODB.Command")
          cmdTemp.ActiveConnection = connect
          cmdTemp.Prepared = true
          cmdTemp.CommandText = args(0)
    Dim i
        For i = 1 To UBound(args)
             set paramTemp = cmdTemp.CreateParameter("",201,1,Len(args(i))+10,args(i))
        cmdTemp.Parameters.Append paramTemp
        Next
             set execSqlExecute = cmdTemp.execute
end function

如果说敏感词过滤是“黑名单”机制,那么参数化查询就是更本质、更安全的“白名单”方案。它的原理是将SQL语句结构与用户输入的数据分离开来。上面这两个封装好的函数就是为此服务的。使用时,你需要将原来的SQL字符串拼接逻辑,改造为使用参数数组的形式。

具体实施时,有几个关键点需要牢记:

  • 1. 原代码使用Recordset.Open的地方,改用execSqlOpen函数(注意,如果原代码有调用close,需保留);原代码使用Connection.Execute或Command.Execute的地方,改用execSqlExecute函数(此处无需close)。
  • 2. 需要返回记录集(Recordset)的,用set语句接收返回值;仅仅执行操作的(如Update、Insert),用call调用即可。
  • 3. 有一种特殊情况:表名本身需要动态拼接。由于参数化占位符不能用于表名、列名等数据库对象,这部分仍需保留原始的字符串拼接方式。
  • 4. 对于使用LIKE进行模糊查询的情况,技巧是在SQL语句内部使用“?”占位,然后在外部将通配符“%”与关键词拼接好,再将整个字符串作为参数传入。

听起来有点抽象?看下面的例子就一目了然了:

open普通查询

sql="select * from table where column='"&column&"'"
set rs=server.CreateObject("ADODB.recordset")
rs.Open sql,conn,1,1
=>
dim args
args = Array("select * from table where column = ?",column)
set rs = execSqlOpen(conn,1,1,args)

动态参数查询

sql="select * from table where 1=1 and column1='"&request("column1")&"'"
if column2<>"" then
sql=sql&" and column2 like '%"&column2&"%'"
end if
if column3<>"" then
sql=sql&" and column3 ="&column3&""
end if
sql=sql&" order by column4 desc;"
Set rs= Server.CreateObject("ADODB.Recordset")
rs.open sql,conn,1,1
=>
dim args
args = Array("select * from table where 1=1 and column1=?",request("column1"))
if column2<>"" then
args(0)=args(0)&" and column2 like ?"
ReDim Preserve args(UBound(args)+1)
args(UBound(args)) = "%"&column2&"%"
end if
if column3<>"" then
args(0)=args(0)&" and column3 =?"
ReDim Preserve args(UBound(args)+1)
args(UBound(args)) = column3
end if
args(0)=args(0)&" order by column4 desc;"
set rs = execSqlOpen(conn,1,1,args)

table动态

Set Rs_t=Conn.Execute("Select column From "&table&" where column1="&column1)
=>
dim args
args = Array("Select column From "&table&" where column1=?",column1)
set Rs_t = execSqlExecute(conn,args)

请注意这个例子:表名(table变量)是动态拼接的,保留了原始字符串方式;而查询条件(column1)则使用了参数“?”占位,这是标准做法。

执行查询

set rs=conn.execute("select * from table where column="&request("column"))
=>
dim args
args = Array("select * from table where column = ?",request("column"))
set rs = execSqlExecute(conn,args)

执行更新

conn.execute("update table set column = '"&column&"'")
=>
dim args
args = Array("update table set column = ?",column)
call execSqlExecute(conn,args)

总的来说,敏感词过滤提供了第一层快速防御,而参数化查询则是从根源上杜绝SQL注入的“银弹”。对于遗留的ASP项目进行安全加固,将这两种方法结合使用,能显著提升应用程序的安全性。希望以上的实例详解,能为你提供清晰、可操作的改造路径。

来源:https://www.jb51.net/program/307234bd2.htm
上一篇NET应用Docker部署中v指令参数详解 下一篇ASP.NET MVC头像上传功能实现教程EntityFramework图片存储方法
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
CentOS与Golang打包常见兼容性问题探讨
编程语言 · 2026-07-01

CentOS与Golang打包常见兼容性问题探讨

CentOS与Golang打包的兼容性问题集中在glibc版本不匹配、交叉编译环境变量错误、依赖库缺失及Go依赖管理不规范。可通过Docker容器编译、选择兼容Go版本、正确设置GOOS GOARCH环境变量、安装对应开发包及使用GoModules解决。

CentOS中Fortran与Python如何协同工作从入门到实战完整教程
编程语言 · 2026-07-01

CentOS中Fortran与Python如何协同工作从入门到实战完整教程

在CentOS中,Fortran与Python可通过f2py、SWIG、共享库调用或subprocess协同。f2py封装Fortran为Python模块,支持数组运算;共享库需手动对齐数据类型;系统调用适合独立计算。

CentOS中Golang打包优化方法
编程语言 · 2026-07-01

CentOS中Golang打包优化方法

在CentOS中优化Golang编译打包,可显著提升编译速度并减小二进制文件体积。关键技巧包括:设置环境变量、使用Go模块管理依赖、编译时添加-ldflags= "-s-w "去除调试信息、利用UPX工具压缩、运行strip清理符号表,以及优化cgo内C代码的编译选项。综合运用这些方法能有效优化最终程序。

在CentOS系统中cpustat与其他工具协同使用的完整方法
编程语言 · 2026-07-01

在CentOS系统中cpustat与其他工具协同使用的完整方法

cpustat作为sysstat包的CPU监控工具,可通过管道与grep等命令配合过滤数据,利用脚本自动记录带时间戳的日志,或结合图形工具查看,也可格式化输出后接入Zabbix、Grafana等Web监控系统,实现可视化与告警。

CentOS中readdir与其他Linux发行版的差异
编程语言 · 2026-07-01

CentOS中readdir与其他Linux发行版的差异

CentOS基于RHEL,与Ubuntu、Debian、Fedora在包管理器(yum dnfvsapt)、默认文件系统(XFSvsext4)等存在差异,但readdir等系统调用遵循POSIX标准,行为一致。