28,406
社区成员
发帖
与我相关
我的任务
分享求ASP防注入解决方案!!要求能保存select,update等关键字到数据库!
因为是外国的服务器,人家在留言或购物的时候有些人的名字是有count,update之类的关键字的,但现在的防注入都是把关键字都屏蔽掉了。不能保存到数据库中。
我自己有一个思路,就是把他们输入的字符串先全换成全角的,到时候显示的时候再换回半角的。
但是国外的服务器又不支持 VB的chr函数!各位有没有好一点的解决办法。要求既能存入敏感字符串又能防注入!
在此谢过了!
我自己有一个思路,就是把他们输入的字符串先全换成全角的,到时候显示的时候再换回半角的。
但是国外的服务器又不支持 VB的chr函数!各位有没有好一点的解决办法。要求既能存入敏感字符串又能防注入!
在此谢过了!
...全文
请发表友善的回复…
发表回复
cngothic 2009-12-09
- 打赏
- 举报
Function NoSqlHack(FS_inputStr)
FS_inputStr = Trim(FS_inputStr)
If FS_inputStr = "" Or Isnull(FS_inputStr) Then
FS_inputStr = ""
End if
FS_inputStr = Replace(FS_inputStr,"'","‘")
FS_inputStr = Replace(FS_inputStr,Chr(34),"‘")
NoSqlHack = FS_inputStr
End Function
三楼の郎 2009-12-09
- 打赏
- 举报
严格的参数类型检查+单引号转译
不耐烦 2009-12-09
- 打赏
- 举报
替换掉 或者替换成别的(比如{update})读的时候在替换回去
你上个帖子的时候我不是说了吗????
你上个帖子的时候我不是说了吗????
cc大鹏哥 2009-12-09
- 打赏
- 举报
是啊,我要需要这方面的支持
碧海情天-赵亮 2009-12-09
- 打赏
- 举报
好好看看SQL注入的原理就明白了,关键字并不是那么可怕,不是必须杀灭的。关键是防止它们超出字串的范畴而成为操作指令。也就是说,问题的关键不是关键字,而是断域符号。
lzp4881 2009-12-09
- 打赏
- 举报
gxq323 2009-12-09
- 打赏
- 举报
替换replace
