编写通用的asp防注入程序

编写通用的ASP防注入程序：守护你的网站免受SQL注入攻击

随着互联网技术的发展，网络安全问题日益突出，其中SQL注入攻击是最常见的安全威胁之一。那些所谓的“黑客高手”往往利用SQL注入漏洞入侵网站。为此，我们有必要编写一个通用的ASP防注入程序，以保护我们的网站数据安全。

ASP网站在处理HTTP请求时，主要接收GET和POST两种请求方式。我们的防注入策略应当针对这两种请求方式进行拦截。我们来GET请求的拦截方式。

当IIS将GET请求传递给ASP.DLL时，请求数据以字符串的形式存在。ASP器会分析Request.QueryString的信息，然后根据"&"符号将其分割成数组。我们可以通过过滤Request.QueryString中的特定字符来防止SQL注入攻击。

我们定义了一些在请求中不能包含的字符，如'|and|exec|insert|select|delete|update|count||%|chr|mid|master|truncate|char|declare'等。如果Request.QueryString中包含了这些字符，那么很可能是在尝试SQL注入攻击，此时我们应该进行拦截。

具体代码如下：

```asp

dim sql_injdata

SQL_injdata = "'|and|exec|insert|select|delete|update|count||%|chr|mid|master|truncate|char|declare"

SQL_inj = split(SQL_Injdata,"|")

If Request.QueryString <> "" Then

For Each SQL_Get In Request.QueryString

For SQL_Data = 0 To Ubound(SQL_inj)

if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA)) > 0 Then

Response.Write ""

Response.End

end if

Next

Next

End If

```

我们还需要拦截POST请求的注入攻击。POST请求的数据存储在Request.Form中，也是一个数组形式。我们只需再进行一次类似的循环判断即可。代码如下：

```asp

If Request.Form <> "" Then

For Each Sql_Post In Request.Form

For SQL_Data = 0 To Ubound(SQL_inj)

if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA)) > 0 Then

Response.Write ""

Response.End

end if

Next

Next

End If

```

完成以上步骤后，我们就实现了对GET和POST请求的信息拦截。只需在打开数据库的conn.asp文件之前引用这个页面，就可以有效防止SQL注入攻击，让你的网站更安全。无需再担心是否会受到SQL注入攻击的影响，放心地继续开发你的程序吧！