正在加载中...

关闭
请选择需要拨打的号码

信息详页

返回
智睿软件系统关于安全防范SQL注入安全补丁手动修正办法

为了防范加强SQL安全注入功能,本以下说明针对所有智睿软件系统有效,本系统因关联挺多,建议手动升级补丁一、升级防SQL注入安全补丁,下载附件,将数据中的表放到原系统网站中表示,两表打开,拖放即可,也可用导入功能SqlInconfig表二、后台新SQL加强注入模块加入,首先在后台admin文件下admin_left.asp用记事本打开找到

     <li><a href="Admin_log.asp" target="mainFrame">登陆日志</a> | <a href="Admin_Ip.asp" target="mainFrame">封锁管理</a></li>

更新为

     <li><a href="Admin_log.asp" target="mainFrame">登陆日志</a> | <a href="Admin_Ip.asp" target="mainFrame">封锁管理</a></li>
     <li><a href="Admin_sql_admin.asp" target="mainFrame">安全注入</a></li> 

即可

三、然后将文件包的Admin_sql_admin.asp放在admin中

四、在后台找到admin_edit.asp打开,找到

<input name="Purview122" type="checkbox" value="|122," style="HEIGHT: 13px;WIDTH: 13px;"
    <%if Instr(Purview,"|122,")>0 then response.write ("checked")%>>&nbsp;评论管理 

然后下面加入

    <input name="Purview123" type="checkbox" value="|123," style="HEIGHT: 13px;WIDTH: 13px;"
    <%if Instr(Purview,"|123,")>0 then response.write ("checked")%>>&nbsp;安全注入

其次分别在下面找到

                      Request.Form("Purview116") & Request.Form("Purview117") & Request.Form("Purview118") & Request.Form("Purview119") & Request.Form("Purview120") & Request.Form("Purview121") & Request.Form("Purview122")&_
更改为

                      Request.Form("Purview116") & Request.Form("Purview117") & Request.Form("Purview118") & Request.Form("Purview119") & Request.Form("Purview120") & Request.Form("Purview121") & Request.Form("Purview122") & Request.Form("Purview123")&_

五、然后将文件包的Fun_SqlIn.Asp放在include中,原nsql删除

六、找到所有<!--#include file="Include/Nsql.asp"-->替换为<!--#include file="Include/Fun_SqlIn.Asp"-->

整个安全注入功能修正完毕

数字安全过滤转换函数

Function SafeRequest(ParaName,ParaType)
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)

Dim ParaValue
ParaValue=ParaName
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function

 

将以上代码放在include文件中的fcution.asp即可

然后分别在整站搜索替换以下

request.QueryString("ClassId")

替换成SafeRequest(request.QueryString("ClassId"),1)

 

request.QueryString("TopID")

替换成

SafeRequest(request.QueryString("TopID"),1)

 

int(request.QueryString("InfoId"))

替换成SafeRequest(request.QueryString("InfoId"),1)

 

注:本站所有系统20091210日后的所有系统将不能更新此补丁,均以修正完毕!