这句怎么改下,才能防止注入。
测试了一下,提示下面这句有问题,有可能注入,请高手帮帮,怎么改下。<script language="JavaScript" src="News/JSNewsnyzx.asp?cataid=A0041&words=19&num=9&l_r=636d6f&l_d=ok&l_p=62"></script>
在线等!急 --------------------编程问答-------------------- cataid=A0041&words=19&num=9&l_r=636d6f&l_d=ok&l_p=62用变量代替 --------------------编程问答-------------------- 我是初学者,给详细指点一下。怎么写?先谢谢 --------------------编程问答-------------------- --------------------编程问答-------------------- 别嫌简单,给说一下,不胜感激 --------------------编程问答-------------------- 参数尽量全传数字,接受是只认数字,不认文本, --------------------编程问答-------------------- 高手啊!给说说啊
--------------------编程问答-------------------- 不用加密吗?
--------------------编程问答-------------------- 所谓的输入不是你那里的url 的问题。
问题是出在,接收参数不作检验,然后sql 直接拼接,同时发生就会有漏洞了。
参数是数值型的地方,如果做了检验,人家根本没法注入了。
sql 拼接是非常垃圾的作法,使用ADO.net 参数的形式才能保证。 --------------------编程问答-------------------- 如果有牛人能通过输入数字注入,那么这个数字一定很长,接收参数时限制下数字大小就行,
如果还能注入。。我表示。。服了 --------------------编程问答-------------------- 你在接收参数的时候要判断 不能直接把它代入数据库去查询 要先把接收到的参数进行过滤· --------------------编程问答-------------------- 接收参数然后以传参方式查询也会注入吗?? --------------------编程问答-------------------- 有点明白了,问题是不在这句,而在JSNewsnyzx.asp这个文件里面,要做判断,是不是这样? --------------------编程问答-------------------- 你所有的查询语句全部都用存储过程,就可以防止注入了。 --------------------编程问答-------------------- js注入。学习! --------------------编程问答-------------------- 你问题都没说明白,但是我知道你是什么意思。你是在文本框里面输入那个字符串后提交时会报错对不对?在aspx页面最顶上的那一句里面加一个ValidRequest="False"就行了。 --------------------编程问答-------------------- url传几个参数 和注入是没有关系的
关键在于你接收参数之后 怎么去处理 你先说说你接收参数之后 写了什么 或者把代码发出来看看 --------------------编程问答-------------------- 有点明白了,问题是不在这句,而在JSNewsnyzx.asp这个文件里面,要做判断,是不是这样?
对 --------------------编程问答-------------------- 防sql注入 给url没关系吧。。 后台接收参数后 检查一下就可以了吧。把危险字符过滤一下。 --------------------编程问答-------------------- 后台检查传入的值,
过渡掉单引号 --------------------编程问答-------------------- 只有是传值参数就可以可能存在注入,这是正常的,存在注入,能不能注入是分开的。
你只有参数化查询就OK了,不怕了 --------------------编程问答--------------------
转化成 2进制 来传递 --------------------编程问答-------------------- 接受参数的时候做校验就好了,现在接受的时候没有校验吧 --------------------编程问答-------------------- 路过一下。看看大家的回帖是件赏心悦目的事 --------------------编程问答-------------------- 恩,原来注入是这个概念 --------------------编程问答-------------------- JS注入 學習 --------------------编程问答-------------------- csdn 月经贴, --------------------编程问答-------------------- 用参数化查询来执行SQL命令。我个人不喜欢过滤。参考http://blog.csdn.net/wolfpkfox/article/details/5143707 --------------------编程问答-------------------- fuck !
JS{--------------------编程问答-------------------- 你是用工具检测 提示可能有漏洞吗 ,提示说的是sql注入漏洞在News/JSNewsnyzx.asp这个文件里,不在html里,而且不一定有注入漏洞,你得把News/JSNewsnyzx.asp里的sql语句拿出来
var canshu=XXXX;
if(canshu.indexof('\'')){
alert("请速度去自首,你的IP已被监控了!");
}
}
工具检测链接含有xxx.asp?aa=123 这种格式的都会提示有sql注入风险的 --------------------编程问答-------------------- 用参数化查询来执行SQL命令 --------------------编程问答-------------------- 我是初学者,给详细指点一下。怎么写?先谢谢 --------------------编程问答--------------------
你把News/JSNewsnyzx.asp这个文件里的sql语句贴出来
补充:.NET技术 , ASP.NET