一个防注入的问题,大虾们帮忙啊!!

cf9806 2005-04-06 08:20:01
一个防注入的问题,大虾们帮忙啊!!
具体问题见下面的沙发中。。
...全文
189 21 打赏 收藏 转发到动态 举报
写回复
用AI写文章
21 条回复
切换为时间正序
请发表友善的回复…
发表回复
cf9806 2005-04-18
  • 打赏
  • 举报
 回复
to:libaisongtuye(孤云浪)谢谢你的回答
libaisongtuye 2005-04-08
  • 打赏
  • 举报
 回复
Function SafeReplace(ParaName)
'--- 传入参数 ---
'ParaName:参数名称-字符型
Dim Paravalue
Paravalue=LCase(Trim(ParaName))
Paravalue=Replace(Paravalue,"select","")
Paravalue=Replace(Paravalue,"insert","")
Paravalue=Replace(Paravalue,"update","")
Paravalue=Replace(Paravalue,"addnew","")
Paravalue=Replace(Paravalue,"delete","")
Paravalue=Replace(Paravalue,"order","")
Paravalue=Replace(Paravalue,"and","")
Paravalue=Replace(Paravalue,"or","")
Paravalue=Replace(Paravalue,"exec","")
Paravalue=Replace(Paravalue,"--","")
Paravalue=Replace(Paravalue,"-","")
Paravalue=Replace(Paravalue,";","")
Paravalue=Replace(Paravalue,"%","")
Paravalue=Replace(Paravalue,"<","")
Paravalue=Replace(Paravalue,">","")
Paravalue=Replace(Paravalue,"(","")
Paravalue=Replace(Paravalue,")","")
Paravalue=Replace(Paravalue,"window.open","")
Paravalue=Replace(Paravalue,"window.close","")
Paravalue=Replace(Paravalue,"while(1)","")
Paravalue=Replace(Paravalue,"script","")
Paravalue=Replace(Paravalue,"'","''")
Paravalue=Replace(Paravalue,chr(34),"")
Paravalue=Replace(Paravalue,chr(39),"")

SafeReplace=Paravalue
End function
传入变量aa
用<%
aa=SafeReplace(request("aa"))
%>进行过滤
wzhiyuan 2005-04-08
  • 打赏
  • 举报
 回复
那就是一个健全性的考虑了,比如说xxx.asp?yy=uu

当你request的时候一定要先进行分析,如果这个数值并不是你想要的,你就要有一套策略的,具体策略是要靠你定的,这个我没有接触你的项目是无法给出答案的,我通常是在传值过程中,如果是一个数值的话,一般是如果不跟数据库连是个开关性的,不符合任何数值就是按0办,还有如果没有数值也按0做,就是这样的

liuxiaoyi666(兔子)
已经说的比较清楚了
cf9806 2005-04-07
  • 打赏
  • 举报
 回复
高手帮忙啊
不然我网站又要被人黑了
cf9806 2005-04-07
  • 打赏
  • 举报
 回复
那比方:index.asp?ID=11中怎样判断是不是我所要的值呢?如果别人把它改为
index.asp?ID=1asdasd1afdad我应该怎么把不要的部分过滤掉呢??
hawk2004 2005-04-07
  • 打赏
  • 举报
 回复
确切说是SQL语句
hawk2004 2005-04-07
  • 打赏
  • 举报
 回复
确切说是SQL语句
jzywh 2005-04-07
  • 打赏
  • 举报
 回复
temp是 radom
jzywh 2005-04-07
  • 打赏
  • 举报
 回复
temp是 radom
hawk2004 2005-04-07
  • 打赏
  • 举报
 回复
ASP中才有防止注入的嘛
jzywh 2005-04-07
  • 打赏
  • 举报
 回复
http://community.csdn.net/Expert/topic/3914/3914874.xml?temp=.7240259

这个temp是防止IE加载IE缓存里的页面,是每一次都能得到最新的页面
patchclass 2005-04-07
  • 打赏
  • 举报
 回复
http://community.csdn.net/Expert/topic/3914/3914874.xml?temp=.7240259

你temp的值乱写都没有关系拉,它只是防止缓存而已
ygjwjj 2005-04-07
  • 打赏
  • 举报
 回复
http://community.csdn.net/Expert/topic/3914/3914874.xml?temp=.7240259

CSDN这么做是为了强制刷新,不是用来传值的。
笨笨兔兔兔兔兔 2005-04-07
  • 打赏
  • 举报
 回复
那就是一个健全性的考虑了,比如说xxx.asp?yy=uu

当你request的时候一定要先进行分析,如果这个数值并不是你想要的,你就要有一套策略的,具体策略是要靠你定的,这个我没有接触你的项目是无法给出答案的,我通常是在传值过程中,如果是一个数值的话,一般是如果不跟数据库连是个开关性的,不符合任何数值就是按0办,还有如果没有数值也按0做,就是这样的
look4sword 2005-04-07
  • 打赏
  • 举报
 回复
简单,你不用temp这个值就行了。
cf9806 2005-04-06
  • 打赏
  • 举报
 回复

那我要在ASP中实现这个效果应该怎么做呢?
笨笨兔兔兔兔兔 2005-04-06
  • 打赏
  • 举报
 回复
xml就没注入问题,你要谈注入要从asp页面考虑的
笨笨兔兔兔兔兔 2005-04-06
  • 打赏
  • 举报
 回复
那当然了,因为xml文件是静态的,而且csdn也不靠temp去传值
cf9806 2005-04-06
  • 打赏
  • 举报
 回复
大家一定要帮忙啊,小弟先谢了~~~~
mayi545 2005-04-06
  • 打赏
  • 举报
 回复
不太清楚。友情UP
加载更多回复(1)
程序员的十个层次(不得不看)
中国的程序员水平比西方程序员水平差,还是中国有许多优秀的程序员达到或超过了西方程序员同等水平呢?要解决这个问题,必须先知道程序员有多少种技术层级,每个层级需要什么样的技术水平,然后再比较中国和西方在各个技术层级的人数,就可以知道到底有没有差距,差距有多大。
我在myeclipse下找不到javax.script.*,请大虾帮忙!!!
具体类package other;import javax.script.*;import java.io.*;// Evaluate a file of JavaScript and print its resultpublic class RunScript {    public static void main(String[] args) throws IOExc
大虾求教!!!!!!!!!
各位达人,请问如何用vb编写程序调用河海大学Fortran语言程序和打印机?万分感谢!!!!!!
请各位大虾帮忙!小女子谢过了!:)
我不明白。。。为什么在JSP的中输出流有的时候是out.println( )有的时候是System.out.println( ),什么情况用哪个呢。。请各位大虾帮忙!小女子谢过了!:)
小弟迷茫中,大虾帮忙
小弟再学windows sdk编程,但是觉得sdk编程的时候c++的知识也没用多少,sdk程序中的类也没有几个,好像不是面向对象编程,代码的组织也乱,不知道我的认识是否对,盼答复
ASP

28,405

社区成员

356,946

社区内容

发帖
与我相关
我的任务
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
  • ASP
  • 无·法
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章