GeeklogSECauthenticate函数SQL注入漏洞GeeklogSECauthenticate函数SQL注入漏洞（共10篇），下面小编为大家整理后的GeeklogSECauthenticate函数SQL注入漏洞，希望能帮助大家!篇1：预防SQL注入漏洞函数仅仅代表我的观点.不怕见笑.有问题请大家指教！我想如果你是牛人，那这个已经不是值得你看的内容，只是觉得对与很多刚入门的ASP程序员来说还是有点实际意义，所以不怕被大家笑话，写了贴在这里！FunctioncheckStr（str）ifisnull（str）thencheckStr=““exitfunctionendifcheckStr=replace（str，”“，”“）checkStr=replace（str，”'“，”'“）checkStr=replace（str，”；“，”'“）checkStr=replace（str，”--“，”'“）checkStr=replace（str，”（“，”'“）checkStr=replace（str，”[“，”'“）checkStr=replace（str，”$“，”'“）endfunction%>相关函数Left（string，length）返回指定数目的从字符串的左边算起的字符Asc（string）返回与字符串的第一个字母对应的ANSI字符代码，Mid（string，start[，length]）从字符串中返回指定数目的字符。***********************************我自己的做法是把字符串限定在8个字符内，呵！（千万条数据啊，没谁有这样大的记录吧？99，999，999呵！不够用，才怪了！除非你的数据从来不更新删出，那也没办法，问题是sql到了这样的时会是怎么样的速度）---iflen（request.querystring（”ddd“））>8thenresponse.write（黑我啊，不要了。少来）response.end'最好有这句'''初步是判断是否是数字=======IsNumeric函数ifIsNumeric（request.querystring（”ddd“））thenExecute（”select*from[table]“）....elseresponse.write（黑我啊，不要了，少来）response.end'最好有这句%>当然了，加上上面的函数，在你的SQL过程里，效果就非常完美了！呵！！！在变态点做个函数。---FunctioncheckStr（str）ifisnull（str）thencheckStr=““exitfunctionendifcheckStr=replace（str，”“，”“）checkStr=replace（str，”'“，”'“）checkStr=replace（str，”；“，”'“）checkStr=replace（str，”--“，”'“）checkStr=replace（str，”（“，”'“）checkStr=replace（str，”[“，”'“）checkStr=replace（str，”$“，”'“）checkStr=replace（str，”asc'，““）checkStr=replace（str，”mid“，”“）checkStr=replace（str，”delete“，”“）checkStr=replace（str，”drop“，”“）'''呵！！我这里没屏蔽select，count，哈！想起来我就笑，太变态了，那其不是我什么都不用了不是更更安全啊！！！呵！！~^）^~endfunction%>足够了，这个函数加载到sql选取记录集的地方。如：rsql=”select*fromtablewherexxx=“&checkstr（request.querystring（”xxyy“））&”“或者来就判断字符串说的有点林乱，但是就是这些了，对于普通的”“已经足够他毫些时间了。但是对于老到的真正意义的，这些都不是万能的东西，人家连服务器都黑，你能怎么样啊？嘿！！看了些资料，结合自己的经验，写在这里。算是自己复习一下，看到的朋友也可以一起交流！篇2：GeeklogSECauthenticate函数SQL注入漏洞影响版本:geeklog漏洞描述:Geeklog是一个免费的、开放源码的Web应用程序，它可以使用户创建一个虚拟的社区，可以管理用户，张贴文章等。Geeklog采用PHP实现，以MySQL为后台数据库。Geeklog的index.php模块中的SEC_authenticate函数没有正确的验证用户所提交的PHP_AUTH_USER和REMOTE_USER变量参数，远程攻击者可以通过提交恶意查询请求执行SQL注入攻击。以下是/pu