防SQL注入代码运行的疑惑

求助：防SQL注入代码运行的疑惑
有如下简化的正则表达式用于防SQL注入检测：
（我简化出的发生疑惑的代码）

<%
Dim regEx, Match, sValue
Set regEx = New RegExp
regEx.IgnoreCase = True
regEx.Global = True
regEx.MultiLine = True
regEx.Pattern = "'|;|%|=|""|#|([\s\b+()]+(select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists|script)[\s\b+]*)"
sValue = "SELECT" '被检测的关键字
If regEx.Test(sValue) Then
    Response.Write "Find !"
else
    Response.Write "Not Find !"
End If
%>

以上代码运行时返回的居然是 "Not Find !"
而如果在关键字前面加上一个空格，变为这样： 

sValue = " SELECT" 

即可检测到，返回结果 "Find !"

不知何故，难道是上面的正则表达式构造有问题？
[解决办法]
用*取代+
[\s\b+()]*(select

不用SQL拼接就可以防注入了，不需要过滤这些字符。 
[解决办法]
你吧 and or use go  什么的通通都不合法了,有很多还是常用字符串呢,你怎么知道是攻击而不是用户的正常输入?用户需要输入含某个关键字的字符串怎么办?
感觉只需替换掉'防止结束字符串就可以了
当然最好的办法是楼上说的不用字符串拼接sql语句,使用数据库提供的参数传递方式
[解决办法]
首先要加强类型控制。
[解决办法]
[\s\b+()]+(select
[解决办法]
 从这里就可以看到select前面必须还有其他字符才可以检测到。
[解决办法]
所谓的通用防注入，都常都是防自己，防不了别人。
其实只要作好两点，就基本上可以防止绝大多数注入了，不用搞这么麻烦。
一是字型串参数过滤掉单引号。
二是数值型参数判断一下类型。
[解决办法]
#region 防止SQL注入
    /// <summary>
    /// 文本格式化方法：防止sql注入错误
    /// </summary>
    /// <param name="strInfo">待格式化文本</param>
    /// <returns>格式化后文本</returns>
    public static string sqlFormat(string strInfo)
    {
        #region 文本格式化方法：防止sql注入错误

        strInfo = strInfo.Replace("'", "");
        strInfo = strInfo.Replace("`", "");
        strInfo = strInfo.Replace("~", "");
        strInfo = strInfo.Replace("+", "");
        strInfo = strInfo.Replace("%", "");
        // strInfo = strInfo.Replace(":", "");
        strInfo = strInfo.Replace("<", "");
        strInfo = strInfo.Replace(">", "");
        //  strInfo = strInfo.Replace("_", "");
        strInfo = strInfo.Replace("[", "");
        strInfo = strInfo.Replace("]", "");
        strInfo = strInfo.Replace("{", "");

        strInfo = strInfo.Replace("}", "");
        strInfo = strInfo.Replace("^", "");
        strInfo = strInfo.Replace("‘", "");
        strInfo = strInfo.Replace("’", "");
        strInfo = strInfo.Replace("“", "");
        strInfo = strInfo.Replace("”", "");
        strInfo = strInfo.Replace("。", "");
        strInfo = strInfo.Trim();

        return strInfo;

        #endregion
    }
    #endregion
[解决办法]
IIS传递给asp.dll的get 请求是是以字符串的形式，，当 传递给Request.QueryString数据后，asp解析器会分析Request.QueryString的信息，，然后根据"&"，分出各个数组内的数据所以get的拦截如下：

　　首先我们定义请求中不能包含如下字符：

'
[解决办法]
and
[解决办法]
exec
[解决办法]
insert
[解决办法]
select
[解决办法]
delete
[解决办法]
update
[解决办法]
count
[解决办法]
*
[解决办法]
%
[解决办法]
chr
[解决办法]
mid
[解决办法]
master
[解决办法]
truncate
[解决办法]
char
[解决办法]
declare  

　　各个字符用"
[解决办法]
"隔开，，然后我们判断的得到的Request.QueryString，具体代码如下 ：

dim sql_injdata 
SQL_injdata = "'
[解决办法]
and
[解决办法]
exec
[解决办法]
insert
[解决办法]
select
[解决办法]
delete
[解决办法]
update
[解决办法]
count
[解决办法]
*
------解决方案--------------------

%
[解决办法]
chr
[解决办法]
mid
[解决办法]
master
[解决办法]
truncate
[解决办法]
char
[解决办法]
declare" 
SQL_inj = split(SQL_Injdata,"
[解决办法]
") 
If Request.QueryString＜＞"" Then 
　For Each SQL_Get In Request.QueryString 
　　For SQL_Data=0 To Ubound(SQL_inj) 
　　　if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))＞0 Then 
　　　　Response.Write "＜Script Language=****＞alert('SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入！');history.back(-1)＜/Script＞" 
　　　　Response.end 
　　　end if 
　　next 
　Next 
End If  

　　这样我们就实现了get请求的注入的拦截，但是我们还要过滤post请求，所以我们还得继续考虑request.form,这个也是以数组形式存在的，我们只需要再进一次循环判断即可。代码如下：

If Request.Form＜＞"" Then 
　For Each Sql_Post In Request.Form 
　　For SQL_Data=0 To Ubound(SQL_inj) 
　　　if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))＞0 Then 
　　　　Response.Write "＜Script Language=****＞alert('SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入！nnHTTP://www.521movie.com ');history.back(-1)＜/Script＞" 
　　　　Response.end 
　　　end if 
　　next 
　next 
end if  

　　好了大功告成，我们已经实现了get和post请求的信息拦截，你只需要在conn.asp之类的打开数据库文件之前引用这个页面即可

查看更多 下一篇