ASP通用防注入代码如何有效防止SQL注入？

ASP网站的安全隐忧

在Web应用开发中,ASP（Active Server Pages）因其简单易用和兼容性，仍被不少中小型项目采用，其开放性也使其面临常见的安全威胁，其中SQL注入是最具破坏性的攻击方式之一，攻击者通过构造恶意输入参数，篡改后台SQL查询语句，可窃取数据库数据、篡改信息甚至控制服务器服务器，一套通用的ASP防注入代码，是保障网站安全的基础防线。

防注入的核心原理

SQL注入的核心漏洞源于程序未对用户输入进行严格过滤,直接将输入内容拼接到SQL语句中执行，登录页面若使用"SELECT * FROM users WHERE username='"&username&"' AND password='"&password&"'"，攻击者输入username=admin'--即可绕过密码验证，通用防注入的核心逻辑即是对所有用户输入（GET、POST、Cookie等参数）进行“净化”，拦截恶意字符和SQL关键字，确保输入数据仅作为普通数据处理，而非代码的一部分。

通用防注入代码实现

以下是一套经过实践验证的ASP通用防注入代码,包含特殊字符过滤、SQL关键字拦截、请求参数遍历过滤及日志记录功能，可直接集成到现有项目中。

特殊字符过滤函数

过滤SQL注入常用的特殊字符,如单引号、分号、注释符等，防止恶意构造语句。

Function FilterSpecialChars(str)
    If IsNull(str) Or str = "" Then
        FilterSpecialChars = ""
        Exit Function
    End If
    ' 替换单引号为两个单引号（SQL标准转义）
    str = Replace(str, "'", "''")
    ' 过滤SQL语句结束符和注释符
    str = Replace(str, ";", "")
    str = Replace(str, "--", "")
    str = Replace(str, "#", "")
    ' 过滤存储过程和命令执行符号
    str = Replace(str, "@", "")
    str = Replace(str, "xp_", "")
    str = Replace(str, "sp_", "")
    ' 过滤括号（防止构造子查询）
    str = Replace(str, "(", "")
    str = Replace(str, ")", "")
    FilterSpecialChars = str
End Function

SQL关键字拦截函数

定义常见SQL关键字（如SELECT、INSERT、DELETE等），遍历输入字符串检测是否存在恶意关键字组合。

Function CheckSQLKeyword(str)
    Dim keywords, i
    ' 常见SQL关键字（可根据实际扩展）
    keywords = Array("select", "insert", "update", "delete", "drop", "truncate", _
                    "exec", "execute", "union", "where", "create", "alter", _
                    "grant", "revoke", "declare", "cast", "convert")
    If IsNull(str) Or str = "" Then
        CheckSQLKeyword = False
        Exit Function
    End If
    str = LCase(str) ' 转换为小写统一匹配
    For i = 0 To UBound(keywords)
        If InStr(str, keywords(i)) > 0 Then
            CheckSQLKeyword = True
            Exit Function
        End If
    Next
    CheckSQLKeyword = False
End Function

请求参数全局过滤

遍历所有HTTP请求参数（GET、POST、Cookie），调用上述函数进行过滤，若检测到恶意输入则拦截并记录日志。

Sub FilterRequestParams()
    Dim paramName, paramValue
    ' 过滤GET参数（URL查询字符串）
    For Each paramName In Request.QueryString
        paramValue = Request.QueryString(paramName)
        If CheckSQLKeyword(paramValue) Then
            LogAttack "GET参数注入", paramName, paramValue
            Response.Write "非法请求：检测到SQL注入攻击！"
            Response.End
        End If
        Request.QueryString(paramName) = FilterSpecialChars(paramValue)
    Next
    ' 过滤POST参数（表单数据）
    For Each paramName In Request.Form
        paramValue = Request.Form(paramName)
        If CheckSQLKeyword(paramValue) Then
            LogAttack "POST参数注入", paramName, paramValue
            Response.Write "非法请求：检测到SQL注入攻击！"
            Response.End
        End If
        Request.Form(paramName) = FilterSpecialChars(paramValue)
    Next
    ' 过滤Cookie参数（可选，根据需求开启）
    For Each paramName In Request.Cookies
        paramValue = Request.Cookies(paramName)
        If CheckSQLKeyword(paramValue) Then
            LogAttack "Cookie注入", paramName, paramValue
            Response.Write "非法请求：检测到SQL注入攻击！"
            Response.End
        End If
        Request.Cookies(paramName) = FilterSpecialChars(paramValue)
    Next
End Sub

攻击日志记录

将拦截到的攻击信息（时间、参数、客户端IP等）写入日志文件，便于后续分析和追溯。

Sub LogAttack(attackType, paramName, paramValue)
    Dim fso, logFile, logPath
    logPath = Server.MapPath("logs/injection_log.txt") ' 日志文件路径
    Set fso = Server.CreateObject("Scripting.FileSystemObject")
    ' 若日志文件不存在则创建
    If Not fso.FileExists(logPath) Then
        Set logFile = fso.CreateTextFile(logPath)
    Else
        Set logFile = fso.OpenTextFile(logPath, 8, True) ' 8=追加模式
    End If
    ' 写入日志内容
    logFile.WriteLine "时间：" & Now() & vbCrLf & _
                     "攻击类型：" & attackType & vbCrLf & _
                     "参数名：" & paramName & vbCrLf & _
                     "参数值：" & paramValue & vbCrLf & _
                     "客户端IP：" & Request.ServerVariables("REMOTE_ADDR") & vbCrLf & _
                     "------------------------"
    logFile.Close
    Set fso = Nothing
End Sub

集成与使用方法

1. 创建公共文件：将上述代码保存为inc/anti_injection.asp，存放于网站根目录下的inc文件夹（若不存在需创建）。
2. 全局调用：在所有需要防护的ASP页面顶部（第一行）引入公共文件，并调用过滤函数：

   <!--#include file="inc/anti_injection.asp"-->
   <%
   ' 页面加载时自动过滤所有请求参数
   FilterRequestParams
   %>  

3. 日志目录权限：确保logs文件夹有写入权限（IIS中需设置IIS_IUSRS或NETWORK SERVICE用户的修改权限）。

注意事项与安全加固

1. 防注入并非万能：该代码主要防御常规SQL注入，对编码绕过（如URL编码、Unicode编码）、堆叠查询（分隔多条语句）等高级攻击需额外扩展过滤逻辑。
2. 优先使用参数化查询：防注入是“被动防御”，更安全的做法是使用数据库参数化查询（如ADO的Command对象），彻底分离SQL语句与数据：

   Set cmd = Server.CreateObject("ADODB.Command")
   cmd.ActiveConnection = conn
   cmd.CommandText = "SELECT * FROM users WHERE username=? AND password=?"
   cmd.Parameters.Append cmd.CreateParameter("username", 200, 1, 50, Request.Form("username")) ' adVarWChar=200
   cmd.Parameters.Append cmd.CreateParameter("password", 200, 1, 50, Request.Form("password"))
   Set rs = cmd.Execute

3. 最小权限原则：数据库用户仅授予必要权限（如禁止DROP、TRUNCATE等危险操作），即使注入成功也能限制损害范围。

相关问答FAQs

Q1：通用防注入代码能防御所有注入攻击吗？
A1：不能，该代码主要防御常规SQL注入（如关键字拼接、特殊字符构造），但对高级攻击（如编码绕过、堆叠查询、二次注入等）防御有限，建议结合参数化查询、输入长度限制、WAF（Web应用防火墙）等多层防护，同时定期更新关键字列表（如新增数据库特定函数、框架漏洞关键字）。

Q2：如何避免防注入代码误拦截正常输入？
A2：误拦截通常因关键字过滤过于严格（如用户输入“select a from b”被误判），优化方案：

• 上下文检查：对非数据库操作场景（如文本框输入“请选择select选项”）放宽过滤，可通过判断请求页面或参数类型（如仅过滤用户名、密码等敏感参数）；
• 白名单机制：对已知合法输入（如纯数字、固定格式字符串）使用白名单验证，优先通过白名单，未匹配再执行黑名单过滤；
• 日志审核：定期查看拦截日志，将正常输入的关键字（如“product_id=123”中的“id”）加入白名单，避免重复误拦截。