教你简单防数据库注入（2）

在后面加一个‘测试出现如下画面，见图3：

点确定后返回如下信息，见图4：

如果要查看相关攻击信息的话，可以去看数据库里的记录，如图5：

够详细了吧，记录了攻击的IP，受攻击的页面以及传递的参数，攻击的方式分为Get与Post，还记录了攻击的时间与攻击的具体内容。管理员看到这些信息能做什么，不用我多说，你怕了吧！当然本着对读者负责的态度笔者说下并不是有了一个通用防注入程序就没事了，因为Cookies也可以传递参数的，另外从产生漏洞的根源来说还是要过渗变量，对于数字型的变量用IsNumeric（）判断一下就好，对于字符型的过滤一下单引号使构造注入语句的时候单引号无法闭合就可以了，下面给两个函数给大家参考：

以下是引用片段：

’ ============================================

　　’ 判断是否是数字，否则用默认值替换

　　’ iCheck 要替换的变量,iDefault 默认值

　　’ ============================================

　　Function GetSafeInt(iCheck,iDefault)

　　If Trim(iCheck)="" Then

　　GetSafeInt = iDefault

　　Exit Function

　　End If

　　If IsNumeric(iCheck)=false Then

　　GetSafeInt = iDefault

　　Exit Function

　　End If

　　GetSafeInt = iCheck

　　End Function

　　’ ============================================

　　’ 得到安全字符串,在查询中或有必要强行替换的表单中使用

　　’ str 要替换的字符串

　　’ ============================================

　　Function GetSafeStr(str)

　　’ GetSafeStr = Replace(Replace(Replace(Trim(str), "’", ""), Chr(34), ""), ";", "")

　　GetSafeStr = Replace(Replace(Replace(Replace(Replace(str,"’","‘"),"""","“"),"&",""),"<","<"),">",">")

　　End Function

再说点与程序无关的吧。因为现在各大网站或多或少是用别人的代码拼起来的，所以一旦原程序出现漏洞，那么这个网站也会跟着受害。在此，所以建议网站管理员不要拿起别人的程序就用，如果你实在不会写ASP，你总会改数据库的结构吧，实在不会写你总会设IIS让其不报错吧。这里再说两种防止ASP页面暴出错误信息的方法：

方法1：打开你的IIS管理器（以IIS6.0为例），选择你的网站=》属性页面=》主目录选项卡=》点击配置按钮=》调试选项卡=》向客户端发送下列文本错误消息

这样，即使入侵者找到了注入点，注入后，得到也只是服务器返回的固定的错误消息。不能得到任何有价值的错误信息。

方法2：在你的ASP语句中（一般是在最开头的地方），加上一句

On Error Resume Next

（注意，这句必须加在里面，不然IIS可不认。）

这就是著名的容错语句，当ASP语句执行时发生错误，就跳过错误，继续向下执行，而且不会返回错误信息。（当然写程序的时候就不要加了哦，方便我们自己找错嘛。）