學asp也有一段時間了,這幾天一直在寫自己的程式,也遇到了好多問題,我就不得不得考慮到一些現在的漏洞,比如,『 或 and 1=1等等的一些漏洞!別的先不管,今天我就來說說如何堵這個漏洞! 記得看了一篇文章(不記得什麼時候看的了),他用到了instr這個函式,具體的應該是這樣的。
if instr(request("id")," ")>0 or instr(request("id"),"'")>0 then response.redirect "index.htm"
當然,也也可以在then後面寫你想要的!這個先不管!
讓我們先來學習instr這個函式吧:
語法 instr([start, ]string1, string2[, compare])
instr 函式的語法有以下引數:
引數 描述
start 可選。數值表示式,用於設定每次搜尋的開始位置。如果省略,將從第乙個字元的位置開始搜尋。如果 start 包含 null,則會出現錯誤。如果已指定 compare,則必須要有 start 引數。
string1 必選。接受搜尋的字串表示式。
string2
必選。要搜尋的字串表示式。
compare 可選。指示在計算子字串時使用的比較型別的數值。有關數值,請參閱"設定"部分。如果省略,將執行二進位制比較。
compare 引數可以有以下值:
常數 值 描述
vbbinarycompare 0 執行二進位制比較。
vbtextcompare 1 執行文字比較。
[返回值]
instr 函式返回以下值:
如果 instr 返回
string1 為零長度 0
string1 為 null null
string2 為零長度 start
string2 為 null null
string2 沒有找到 0
在 string1 中找到 string2 找到匹配字串的位置
start > len(string2) 0
下面的示例利用 instr 搜尋字串:
dim searchstring, searchchar, mypos
searchstring ="xxpxxpxxpxxp" ' 要在其中搜尋的字串。
searchchar = "p" ' 搜尋 "p"。
mypos = instr(4, searchstring, searchchar, 1) '文字比較從第四個字元開始返回 6。
mypos = instr(1, searchstring, searchchar, 0) '二進位制比較從第1個字元開始返回 9。
mypos = instr(searchstring, searchchar) ' 返回 9。
' 預設為二進位制比較(最後乙個引數省略)。
mypos = instr(1, searchstring, "w") ' 二進位制比較從第1個字元開始返回 0 (沒有找到 "w")。
注意 instrb 函式使用包含在字串中的位元組資料,所以 instrb 返回的不是乙個字串在另乙個字串中第一次出現的字元位置,而是位元組位置。
總結概括:instr的功能就是: 返回字元或字串在另乙個字串中第一次出現的位置,好了,讓我們在看看哪個**:
if instr(request("id")," ")>0 or instr(request("id"),"'")>0 then
含義:比較 字元(空格)與字元(')在request("id")中的具體位置(進行二進位制制比較),假如找到了(空格)與(『)字元,那麼就是then 後的語句!
現在大家理解這個含義了吧!
當我看第一眼的時候我就說,假如在asp?id=90加上字元(;或,)等等一些字元時不是造樣出錯嗎?(是,回答的肯定的:)
估計又有人說,那我會在if instr(request("id")," ")>0 or instr(request("id"),"'")>0 then 語句中在加些字元,比如改為:if instr(request("id")," ")>0 or instr(request("id"),"'")>0 or instr(request("id"),";")>0 or instr(request("id"),", ")>0 then
等等,你還可以在後面加,呵呵!(這個好啊!不過比較爛:)
是,這樣加上後,確實能桃過一些所謂的黑客們的手的!
其實沒必要,大家忘了instr(request("id")," ")>0這句話了嗎,他還和(空格)比較了啊!只要有這句話,那些所謂的黑客們的,and 1 = 1 不就沒用了嗎?
利用instr 函式防止SQL注入
if instr request id 0 or instr request id 0 then response.redirect index.asp 當然,也可以在then後面寫你想要的!這個先不管!讓我們先來學習instr這個函式吧 語法 instr start,string1,string2...
利用instr 函式防止SQL注入
學asp也有一段時間了,這幾天一直在寫自己的程式,也遇到了好多問題,我就不得不得考慮到一些現在的漏洞,比如,或 and 1 1等等的一些漏洞!別的先不管,今天我就來說說如何堵這個漏洞!記得看了一篇文章 不記得什麼時候看的了 他用到了instr這個函式,具體的應該是這樣的。if instr reque...
利用instr 函式防止SQL注入
學asp也有一段時間了,這幾天一直在寫自己的程式,也遇到了好多問題,我就不得不得考慮到一些現在的漏洞,比如,或 and 1 1等等的一些漏洞!別的先不管,今天我就來說說如何堵這個漏洞!記得看了一篇文章 不記得什麼時候看的了 他用到了instr這個函式,具體的應該是這樣的。if instr reque...