28,406
社区成员
发帖
与我相关
我的任务
分享敏感问题:有关ASP防注入!!!
Function SafeRequest(ParaName,ParaType)
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)
Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function
很多人发过这个函数,居然说可以对所有的注入说不!我目前还没有发现什么问题,不知道大家有没有找到突破点?想知道到底安不安全。
这个函数到底能不能完全防注入呢???还有就是大家如果有好的防注入函数来讨论讨论吧!~
'--- 传入参数 ---
'ParaName:参数名称-字符型
'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)
Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function
很多人发过这个函数,居然说可以对所有的注入说不!我目前还没有发现什么问题,不知道大家有没有找到突破点?想知道到底安不安全。
这个函数到底能不能完全防注入呢???还有就是大家如果有好的防注入函数来讨论讨论吧!~
...全文
请发表友善的回复…
发表回复
kc_ren 2005-11-11
- 打赏
- 举报
过滤特殊字符就没有问题了
zly22169846 2005-11-11
- 打赏
- 举报
用这个一般就没什么问题了.
不过最好还是能去掉像; /|\-<>%这些七七八八的字符
不过最好还是能去掉像; /|\-<>%这些七七八八的字符
zhybxyz 2005-11-11
- 打赏
- 举报
UP
zhybxyz 2005-11-11
- 打赏
- 举报
UP,大家来看看啊。
