今天写一篇关于站点安全的文章。 Ex,JB +
很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! %_tk7x
所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! '0Zm#g
关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: #\b ;2>
<% x YT}>#[
'''''''''''''''''''''''''''''''''''''''''''''''' :HZ;Po
'ASP通用防注入代码 N$'>XtO
'您可以把该代码COPY到头文件中.也可以单独作 "|4jPza
'为一个文件存在,每次调用使用 WFh@%j
'''''''''''''''''''''''''''''''''''''''''''''''' V<
-htV
Dim GetFlag Rem(提交方式) P3$,ca'
Dim ErrorSql Rem(非法字符) ^g]xU1] *
Dim RequestKey Rem(提交数据) $r"A@69^RS
Dim ForI Rem(循环标记) ^gm>!-Gx
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) b7'F|h^
ErrorSql = split(ErrorSql,"~") :VFTVmr
If Request.ServerVariables("REQUEST_METHOD")="GET" Then :Y.e[@!1x
GetFlag=True uu3M{*}
Else iBHw[X,b
GetFlag=False I<`V_
End If A9n41,h
If GetFlag Then Yq0# #__
For Each RequestKey In Request.QueryString
;f(n.i
For ForI=0 To Ubound(ErrorSql) IO[^z
v4F
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then "
Z;uu)NE
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" n#>5?W
Response.End jM\ %$_/
End If D Q 5W6W
Next *tG11gR,&