智睿系统官方论坛智睿系统交流智睿系统专区 → 智睿软件系统关于安全防范SQL注入安全补丁手动修正办法


  共有14091人关注过本帖树形打印

主题:智睿软件系统关于安全防范SQL注入安全补丁手动修正办法

帅哥哟,离线,有人找我吗?
zhirui
  1楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:管理员 帖子:517 积分:8572 威望:0 精华:5 注册:2009-07-07
智睿软件系统关于安全防范SQL注入安全补丁手动修正办法  发帖心情 Post By:2009-12-11 09:05:44

您无权查看精华帖子

[本帖被加为精华]
网络投票评选管理系统,投票评选的合作伙伴 支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
zhirui
  2楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:管理员 帖子:517 积分:8572 威望:0 精华:5 注册:2009-07-07
  发帖心情 Post By:2009-12-11 09:09:34

数字安全过滤转换函数

Function SafeRequest(ParaName,ParaType)
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)

Dim ParaValue
ParaValue=ParaName
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function

 

将以上代码放在include文件中的fcution.asp即可

然后分别在整站搜索替换以下

request.QueryString("ClassId")

替换成SafeRequest(request.QueryString("ClassId"),1)

 

request.QueryString("TopID")

替换成

SafeRequest(request.QueryString("TopID"),1)

 

int(request.QueryString("InfoId"))

替换成SafeRequest(request.QueryString("InfoId"),1)

 

注:本站所有系统20091210日后的所有系统将不能更新此补丁,均以修正完毕!

[此贴子已经被作者于2009-12-11 12:25:24编辑过]

企业开源网站管理系统,中小型企业的成长伙伴 支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
zhirui
  3楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:管理员 帖子:517 积分:8572 威望:0 精华:5 注册:2009-07-07
  发帖心情 Post By:2009-12-11 12:11:51

感谢virusest@hotmail.com”用户的无私支持!

国际域名60元,空间八折优惠,企业的顶级合作伙伴 支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
avry
  4楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 学校系统总测试
等级:超级版主 帖子:144 积分:1426 威望:0 精华:2 注册:2009-10-25
  发帖心情 Post By:2009-12-14 08:10:11

真感谢哇。


原来伤也是一种美:只是美得狂妄,美得惨然,美得凄凉……
中小学校网站管理系统,中小学校的宣传伙伴 支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
avry
  5楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 学校系统总测试
等级:超级版主 帖子:144 积分:1426 威望:0 精华:2 注册:2009-10-25
  发帖心情 Post By:2009-12-14 12:39:22

不过真希望站能能做一个自动的脚本.这样查找好麻烦.我都不敢乱改~~~


原来伤也是一种美:只是美得狂妄,美得惨然,美得凄凉……
政府公安政府系统,专注于政府媒体,公安公众信息系统 支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
itgemini
  6楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:新手上路 帖子:17 积分:423 威望:0 精华:1 注册:2009-12-18 14:56:46
  发帖心情 Post By:2009-12-18 15:21:12

站长能说明一下,下面的一个替换文章,也需要我更新么?

国际域名60元,空间八折优惠,企业的顶级合作伙伴 支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
itgemini
  7楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:新手上路 帖子:17 积分:423 威望:0 精华:1 注册:2009-12-18 14:56:46
  发帖心情 Post By:2009-12-18 15:48:02

防范SQL攻击,仅对校园系统第四条的后续补充说明:

[注意红色是改动部分,其它步骤不变!!!]

 

 

第四条:

大家打开admin_edit.asp打开,找到

<input name="Purview122" type="checkbox" value="|122," style="HEIGHT: 13px;WIDTH: 13px;"
    <%if Instr(Purview,"|122,")>0 then response.write ("checked")%>>&nbsp;评论管理

 

然后下面加入

    <input name="Purview123" type="checkbox" value="|123," style="HEIGHT: 13px;WIDTH: 13px;"
    <%if Instr(Purview,"|123,")>0 then response.write ("checked")%>>&nbsp;安全注入

 

其次在该页面搜索找到:

                      Request.Form("Purview116") & Request.Form("Purview117") & Request.Form("Purview118") & Request.Form("Purview119") & Request.Form("Purview120") & Request.Form("Purview121") & Request.Form("Purview122")&_

 

替换为:

Request.Form("Purview116") & Request.Form("Purview117") & Request.Form("Purview118") & Request.Form("Purview119") & Request.Form("Purview120") & Request.Form("Purview121") & Request.Form("Purview122") & Request.Form("Purview123")&_

 

然后在该页面继续搜索找到:
Request.Form("Purview116") & Request.Form("Purview117") & Request.Form("Purview118") & Request.Form("Purview119") &  Request.Form("Purview121") & Request.Form("Purview122")&_

 

替换为:

Request.Form("Purview116") & Request.Form("Purview117") & Request.Form("Purview118") & Request.Form("Purview119") & Request.Form("Purview120") & Request.Form("Purview121") & Request.Form("Purview122") & Request.Form("Purview123")&_

 

五、然后将文件包的Fun_SqlIn.Asp放在include中,原nsql删除

六、找到所有<!--#include file="Include/Nsql.asp"-->替换为<!--#include file="Include/Fun_SqlIn.Asp"-->

整个安全注入功能修正完毕


考试管理系统,适合中小学校,驾校,技术认证考试 支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
itgemini
  8楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:新手上路 帖子:17 积分:423 威望:0 精华:1 注册:2009-12-18 14:56:46
  发帖心情 Post By:2009-12-18 15:51:11

否则您进入系统,在左导航,进行SQL防范配置的时候,提示您:无权操作,请与管理员联系!

 

 

=====================

 

支持站长,请购买正版!


企业开源网站管理系统,中小型企业的成长伙伴 支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
stguoxin
  9楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:新手上路 帖子:2 积分:76 威望:0 精华:0 注册:2010-03-13 22:01:22
  发帖心情 Post By:2010-03-24 13:25:15

就没有简单点的方法吗???晕了。


考试管理系统,适合中小学校,驾校,技术认证考试 支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
stguoxin
  10楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:新手上路 帖子:2 积分:76 威望:0 精华:0 注册:2010-03-13 22:01:22
  发帖心情 Post By:2010-03-24 13:25:56

以下是引用avry在2009-12-14 12:39:22的发言:
不过真希望站能能做一个自动的脚本.这样查找好麻烦.我都不敢乱改~~~

超版都这么说了,我更不敢乱弄了。。。


考试管理系统,适合中小学校,驾校,技术认证考试 支持(0中立(0反对(0回到顶部