原创著作,产权保护 政府、投票、评选、公安、学校、问卷、视频会议专注发展中小企事业 系统报价 | 支付帐号 | 授权查证
    计算机著作版权登记号:2014SR032463 手机:+86-1373066-4304 | QQ:1213920482 欢迎选择智睿软件系统 欢迎选择智睿软件系统
智睿软件系统
智睿软件系统关于安全防范SQL注入安全补丁手动修正办法
来源:本站 浏览:5292 次 发布时间:2009-12-12 18:43:19

为了防范加强SQL安全注入功能,本以下说明针对所有智睿软件系统有效,本系统因关联挺多,建议手动升级补丁一、升级防SQL注入安全补丁,下载附件,将数据中的表放到原系统网站中表示,两表打开,拖放即可,也可用导入功能SqlInconfig表二、后台新SQL加强注入模块加入,首先在后台admin文件下admin_left.asp用记事本打开找到

     <li><a href="Admin_log.asp" target="mainFrame">登陆日志</a> | <a href="Admin_Ip.asp" target="mainFrame">封锁管理</a></li>

更新为

     <li><a href="Admin_log.asp" target="mainFrame">登陆日志</a> | <a href="Admin_Ip.asp" target="mainFrame">封锁管理</a></li>
     <li><a href="Admin_sql_admin.asp" target="mainFrame">安全注入</a></li> 

即可

三、然后将文件包的Admin_sql_admin.asp放在admin中

四、在后台找到admin_edit.asp打开,找到

<input name="Purview122" type="checkbox" value="|122," style="HEIGHT: 13px;WIDTH: 13px;"
    <%if Instr(Purview,"|122,")>0 then response.write ("checked")%>>&nbsp;评论管理 

然后下面加入

    <input name="Purview123" type="checkbox" value="|123," style="HEIGHT: 13px;WIDTH: 13px;"
    <%if Instr(Purview,"|123,")>0 then response.write ("checked")%>>&nbsp;安全注入

其次分别在下面找到

                      Request.Form("Purview116") & Request.Form("Purview117") & Request.Form("Purview118") & Request.Form("Purview119") & Request.Form("Purview120") & Request.Form("Purview121") & Request.Form("Purview122")&_
更改为

                      Request.Form("Purview116") & Request.Form("Purview117") & Request.Form("Purview118") & Request.Form("Purview119") & Request.Form("Purview120") & Request.Form("Purview121") & Request.Form("Purview122") & Request.Form("Purview123")&_

五、然后将文件包的Fun_SqlIn.Asp放在include中,原nsql删除

六、找到所有<!--#include file="Include/Nsql.asp"-->替换为<!--#include file="Include/Fun_SqlIn.Asp"-->

整个安全注入功能修正完毕

数字安全过滤转换函数

Function SafeRequest(ParaName,ParaType)
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)

Dim ParaValue
ParaValue=ParaName
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function

 

将以上代码放在include文件中的fcution.asp即可

然后分别在整站搜索替换以下

request.QueryString("ClassId")

替换成SafeRequest(request.QueryString("ClassId"),1)

 

request.QueryString("TopID")

替换成

SafeRequest(request.QueryString("TopID"),1)

 

int(request.QueryString("InfoId"))

替换成SafeRequest(request.QueryString("InfoId"),1)

 

注:本站所有系统20091210日后的所有系统将不能更新此补丁,均以修正完毕!

【刷新页面】【加入收藏】【打印此文】 【关闭窗口】
上一篇:智睿软件系统修正fckeditor漏洞Bug安全操作方法 下一篇:智睿企业网站管理系统版本: Ver 3.2.0