1、If midFrom_url，8，lenServ_url lt Serv_url Then ResponseWrite #39#39alert#39警告\n\你正在從外部提交數(shù)據(jù)\n\請立即終止#39=#39indexasp#39ltSCRIPT#39#39ResponseEnd else if inst；java防SQL注入，最簡單的辦法是杜絕SQL拼接，SQL注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯，如果使用PreparedStatement來代替Statement來執(zhí)行SQL語句，其后只是輸入?yún)?shù)，SQL注入攻擊手段將無效，這是因為PreparedStatement不允許在不同的插入；如果這時候有人利用搜索引擎對這些網(wǎng)頁進行查找，會得到有關(guān)文件的定位，并能在瀏覽器中查看到數(shù)據(jù)庫地點和結(jié)構(gòu)的細節(jié)，并以此揭示完整的源代碼 防范技巧程序員應該在網(wǎng)頁發(fā)布前對它進行徹底的調(diào)試安全專家則需要加固ASP文件以便外部的；這是日志文件？如果是日志文件的話你的網(wǎng)站應該沒有問題，從代碼來看，只是有人嘗試進行注入，但沒有成功，因為他在嘗試對bindexasp onesixasp vip_indexasp 等文件進行注入#39但沒有成功，因為要是成功的話他不會對這么多個；防sql注入的常用方法1服務(wù)端對前端傳過來的參數(shù)值進行類型驗證2服務(wù)端執(zhí)行sql，使用參數(shù)化傳值，而不要使用sql字符串拼接3服務(wù)端對前端傳過來的數(shù)據(jù)進行sql關(guān)鍵詞過來與檢測著重記錄下服務(wù)端進行sql關(guān)鍵詞檢測；防止sql注入，最簡單的辦法就是不要拼接sql，而是采用SqlParameter參數(shù)化形式，如果條件可能有可能沒有，可以采用string sql = quotselect * from xx where 1=1quotiftrue sql += quot and id=@idquot。

2、l 發(fā)現(xiàn)SQL注入位置l 判斷后臺數(shù)據(jù)庫類型l 確定XP_CMDSHELL可執(zhí)行情況l 發(fā)現(xiàn)WEB虛擬目錄l 上傳ASP木馬l 得到管理員權(quán)限一SQL注入漏洞的判斷一般來說，SQL注入一般存在于形如asp？id=XX等帶有參數(shù)的。

3、例如需要防注入的參數(shù)lt aa=requestquotaaquotsafeaa 下面safe函數(shù)供你參考function Safestrdim sql_Chk_Post，sql_Chk_Get，sql_Chk_In，sql_Chk_Inf，sql_Chk_Xh，sql_Chk_db，sql_Chk_dbstr，sql_Chk_Err；沒有任何意義，對于RequestQueryString方式的注入，你只需過濾掉空格和單引號就可以了，你真正要防范的應該是Requestfrom和上傳漏洞；asp有很多漏洞，比如上傳漏洞，url注入不同的漏洞有不同的處理方式除了適當?shù)墓δ苓^濾和文件過濾，最重要的是在日常生活中養(yǎng)成正確的網(wǎng)絡(luò)安全意識，有良好的代碼編寫習慣防止aspsql注入的方法有很多，需要嚴格的字符串過濾。

4、2數(shù)據(jù)庫存在的目錄和位置可能比較容易被猜中，解決方案可能把數(shù)據(jù)庫放在相對比較難猜的文件夾下面，可能放到兩層以下的文件夾，文件夾名復雜一點3你的網(wǎng)站可能是用網(wǎng)上的公共代碼，所以代碼空易被人知道解決方案；5自定義404頁面及自定義傳送ASP錯誤信息 404能夠讓駭客批量查找你的后臺一些重要文件及檢查網(wǎng)頁是否存在注入漏洞ASP錯誤嘛，可能會向不明來意者傳送對方想要的信息6慎重選擇網(wǎng)站程序 注意一下網(wǎng)站程序是否本身存在漏洞。

5、3字符被過濾的判斷 有安全意識的ASP程序員會過濾掉單引號等字符，以防止SQL注入這種情況可以用下面幾種方法嘗試1ASCII方法所有的輸入部分或全部字符的ASCII代碼，如U = CRH85，一個= CRH97，等等2；1， 通用防注入代碼，在打開數(shù)據(jù)庫前用，如放在connasp頂部lt #39 === #39防止SQL注入，打開數(shù)據(jù)庫文件之前引用#39 === #39過濾RequestQueryString請求 Dim SQL_injdata，SQL_inj，SQL_Get，SQL_Post，SQL_Data SQL_injdata。