请高手帮我看看。我这段代码里有漏洞吗..我扫描时老是提醒Exist XSS

同城同梦 2008-12-08 11:11:54
<%
dim keyword
keyword=trim(request("keyword"))
if instr(keyword,";") or instr(keyword,"and") or instr(keyword,"start") or instr(keyword,"select")or instr(keyword,"%") then
response.write "对不起,不能搜索!"
end if
%>
<!--#include file="../inc/conn.asp"-->
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
<title>xx</title>
<META NAME="ROBOTS" content="ALL">
</head>
<body>
<!-- #include file="../inc/head.asp" -->
<%
keyword=trim(request("keyword"))
user_pro=clng(trim(request("user_pro")))
unit_type=clng(trim(request("unit_type")))
page=clng(trim(request("page")))
%>
<div class="clr"></div>
<div id="users_d">
<div id="users_d_left">
<%
dim strSql,rs
strSql="select * from [user] where "
if user_pro<>"" then strSql=strSql & " user_pro='" & user_pro & "' and"
if unit_type<>"" then strSql=strSql & " unit_type='" & unit_type & "' and"
strSql=strSql & " unit_name like '%" & keyword & "%' order by reg_time desc"
.
.
..
...

<form action="user_sch.asp" method="post" name="pageform">
<input type="hidden" name="keyword" value="<%= keyword %>" />
<input type="hidden" name="user_pro" value="<%= user_pro %>" />
<input type="hidden" name="page" />
共有[<b><%= totalrec %></b>]条记录,<%= page %>/<%= rs.pageCount %>页。
.
.
.
.
.
</form>
<%
else
response.Write "<br><br><br><br><br> <font color=red>对不起,没有搜索到您要 </font><font color=#000000><b>"&keyword&"</b></font> <font color=red>的资料,请重新填写关键词!<br><br><br><br></font>"
end if
%>
...全文
32 点赞 收藏 4
写回复
4 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
同城同梦 2008-12-08
[Quote=引用 2 楼 littlelam 的回复:]
if instr(keyword,";") or instr(keyword,"and") or instr(keyword,"start") or instr(keyword,"select")or instr(keyword,"%") then
这句无实际意义
[/Quote]
谢谢.
 回复
qap22 2008-12-08
ding
 回复
littlelam 2008-12-08
if instr(keyword,";") or instr(keyword,"and") or instr(keyword,"start") or instr(keyword,"select")or instr(keyword,"%") then
这句无实际意义
 回复
littlelam 2008-12-08
trim(request("keyword")) ==>>
Replace(trim(request("keyword")),"'","''")
回复
相关推荐
高级PHP应用程序漏洞审核技术 高级PHP应用程序漏洞审核技术 前言传统的代码审计技术PHP版本与应用代码审计其他的因素与应用代码审计扩展我们的字典 变量本身的key变量覆盖 ...magic_quotes_gpc与代码安全 什么是magic_quotes_gpc哪些地方没
(转)PHP代码漏洞审核  那么就导致一个xss漏洞,扩展一下如果这个key提交给include()等函数或者sql查询 呢?:) +++++++++++++++++++++++++ 漏洞审计策略 ------------------------- PHP版本要求:无 系统要求:无 审计策略:通读...
【转】高级PHP应用程序漏洞审核技术 那么就导致一个xss漏洞,扩展一下如果这个key提交给include()等函数或者sql查询 呢?:) +++++++++++++++++++++++++ 漏洞审计策略 ------------------------- PHP版本要求:无 系统要求:无 审计策略...
转:高级PHP应用程序漏洞审核技术 跨平台,容易学习,功能强大等特点,据统计全世界超过34%的网站php的应用,包括Yahoo、sina、163、sohu等大型门户网站。而且很多具名的web应用系统(包括bbs,blog,wiki,cms等等)都是使用php开发的,Discuz...
高级PHP应用程序漏洞审核技术-温故知新 跨平台,容易学习,功能强大等特点,据统计全世界超过34%的网站php的应用,包括Yahoo、sina、163、sohu等大型门户网站。而且很多具名的web应用系统(包括bbs,blog,wiki,cms等等)都是使用php开发的,Discuz...
高级PHP应用程序漏洞审核技术 [转] 2. 传统的代码审计技术 3. PHP版本与应用代码审计 4. 其他的因素与应用代码审计 5. 扩展我们的字典 5.1 变量本身的key 5.2 变量覆盖 5.2.1 遍历初始化变量 5.2.2 parse_str()变量覆盖漏洞 5.2.3 import...
[Spark版本升级]-- spark-2.2.0发行说明  ] - 当连接行很多相同的键,SortMergeJoin将OOM [  SPARK-13​​747  ] - SQL中并发执行不适用于Scala ForkJoinPool [  SPARK-13​​931  ] - 在特定情况下解决舞台挂起问题 [  SPARK-14489  ]...
安徽省铜陵市一年级上学期语文期末检测试卷.pdf 安徽省铜陵市一年级上学期语文期末检测试卷.pdf
宿州市2020年小学英语六年级下学期期末模拟测试卷(2)(I)卷.pdf 宿州市2020年小学英语六年级下学期期末模拟测试卷(2)(I)卷.pdf
科三驾考机器人Python智能程序 详细的驾考科目三的知识点Python程序,将Python的基础语法和干货知识点结合起来,封装为函数调用,建议初学者参考学习,可以巩固Python语法!!!
安徽省蚌埠市六年级上学期语文期末复习五.pdf 安徽省蚌埠市六年级上学期语文期末复习五.pdf
宿州市2020年(春秋版)小学英语四年级上册期末专题复习:连词成句D卷.pdf 宿州市2020年(春秋版)小学英语四年级上册期末专题复习:连词成句D卷.pdf
安阳市六年级上学期英语期中考试试卷.pdf 安阳市六年级上学期英语期中考试试卷.pdf
宿州市2020年(春秋版)四年级下学期英语期末评价试卷B卷.pdf 宿州市2020年(春秋版)四年级下学期英语期末评价试卷B卷.pdf
安阳市一年级下学期语文第二次月考试卷.pdf 安阳市一年级下学期语文第二次月考试卷.pdf
安顺市二年级下学期语文期末模拟试卷(三).pdf 安顺市二年级下学期语文期末模拟试卷(三).pdf
安徽省铜陵市英语六年级下册期中测试卷(2).pdf 安徽省铜陵市英语六年级下册期中测试卷(2).pdf
宿州市2021年小学英语四年级上册期末统考卷(无听力音频)(II)卷.pdf 宿州市2021年小学英语四年级上册期末统考卷(无听力音频)(II)卷.pdf
山东省枣庄市四年级上学期英语期中考试试卷.pdf 山东省枣庄市四年级上学期英语期中考试试卷.pdf
宿州市小学英语四年级下册期中测试卷(2).pdf 宿州市小学英语四年级下册期中测试卷(2).pdf
发帖
ASP
创建于2007-09-28

2.8w+

社区成员

35.7w+

社区内容

ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
申请成为版主
帖子事件
创建了帖子
2008-12-08 11:11
社区公告
暂无公告