设为首页 收藏本站
注册
 找回密码
 注册

江西广告网

搜索
快捷导航

热点资讯人物聚焦企业报道活动展会专业书讯版权法规

营销策略经典案例广告策划文案集锦视频广告理论资讯

户外媒体杂志期刊网络媒体广告设备广告耗材设备租售

创意设计策划文案平面软件印前技术活动互动资源素材
江西广告网»圈内 :::技术频道::: 电脑网络 利用instr()函数防止SQL注入攻击
江西广告网
鎺ㄨ崘涓婚
返回列表 发新帖
查看: 309|回复: 0
打印 上一主题 下一主题

利用instr()函数防止SQL注入攻击

[复制链接]

该用户从未签到
1
跳转到指定楼层
发表于 2009-1-13 15:35:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
  学asp也有一段时间了,这几天一直在写自己的程序,也遇到了好多问题,我就不得不得考虑到一些现在的漏洞,比如,‘ 或 and 1=1等等的一些漏洞!别的先不管,今天我就来说说如何堵这个漏洞!      记得看了一篇文章,他用到了instr这个函数,具体的应该是这样的。      If instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then response.redirect "index.asp"      当然,也也可以在then后面写你想要的!这个先不管!      让我们先来学习instr这个函数吧:      语法      InStr([start, ]string1, string2[, compare])      InStr 函数的语法有以下参数:      参数 描述   start 可选。数值表达式,用于设置每次搜索的开始位置。如果省略,将从第一个字符的位置开始搜索。如果 start 包含 Null,则会出现错误。如果已指定 compare,则必须要有 start 参数。   String1 必选。接受搜索的字符串表达式。   String2   必选。要搜索的字符串表达式。   Compare 可选。指示在计算子字符串时使用的比较类型的数值。有关数值,请参阅"设置"部分。如果省略,将执行二进制比较。   compare 参数可以有以下值:   常数 值 描述   vbBinaryCompare 0 执行二进制比较。   vbTextCompare 1 执行文本比较。      [返回值]      InStr 函数返回以下值:      如果 InStr 返回      string1 为零长度 0      string1 为 Null Null      string2 为零长度 start      string2 为 Null Null      string2 没有找到 0      在 string1 中找到 string2 找到匹配字符串的位置      start > Len(string2) 0      下面的示例利用 InStr 搜索字符串:      Dim SearchString, SearchChar, MyPos   SearchString ="XXpXXpXXPXXP" ' 要在其中搜索的字符串。   SearchChar = "P" ' 搜索 "P"。   MyPos = Instr(4, SearchString, SearchChar, 1) '文本比较从第四个字符开始返回 6。   MyPos = Instr(1, SearchString, SearchChar, 0) '二进制比较从第1个字符开始返回 9。   MyPos = Instr(SearchString, SearchChar) ' 返回 9。   ' 缺省为二进制比较(最后一个参数省略)。   MyPos = Instr(1, SearchString, "W") ' 二进制比较从第1个字符开始返回 0 (没有找到 "W")。      注意 InStrB 函数使用包含在字符串中的字节数据,所以 InStrB 返回的不是一个字符串在另一个字符串中第一次出现的字符位置,而是字节位置。      总结概括:instr的功能就是: 返回字符或字符串在另一个字符串中第一次出现的位置,好了,让我们在看看哪个代码:      if instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then      含义:比较 字符(空格)与字符(')在request("id")中的具体位置(进行二进制制比较),假如找到了(空格)与(‘)字符,那么就是then 后的语句!      现在大家理解这个含义了吧!      当我看第一眼的时候我就说,假如在asp?Id=90加上字符(;或,)等等一些字符时不是造样出错吗?(是,回答的肯定的:)      估计又有人说,那我会在if instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then 语句中在加些字符,比如改为:if instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 or instr(Request("id"),";")>0 or instr(Request("id"),", ")>0 then   等等,你还可以在后面加,呵呵!(这个好啊!不过比较烂:)   是,这样加上后,确实能桃过一些所谓的黑客们的手的!      其实没必要,大家忘了instr(Request("id")," ")>0这句话了吗,他还和(空格)比较了啊!只要有这句话,那些所谓的黑客们的,and 1 = 1 不就没用了吗? <
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Copyright © 2007-2017 江西广告网(http://www.jxadw.com/) 版权所有 All Rights Reserved.
免责声明: 本网不承担任何由内容提供商提供的信息所引起的争议和法律责任
Powered by 江西广告网 赣ICP备12008428号-1

快速回复 返回顶部 返回列表