作者:fish
今天給大家帶來乙個更加完美的過濾方式,就是用到微軟的vbscript裡面的乙個isnumeric()函式!好了,
廢話少說,先來看看他的描述與用法:
isnumeric 函式 描述
返回 boolean 值指明表示式的值是否為數字。
語法 isnumeric(expression)
expression 引數可以是任意表示式。
說明 如果整個 expression 被識別為數字,isnumeric 函式返回 true;
否則函式返回 false。
如果 expression 是日期表示式,isnumeric 函式返回 false。
好了,看到這裡大家明白了嗎?
isnumeric()這個函式就是比較括號裡的表達試,看是否為數字,如果為數字這返回true,如果非數字則返回false,基這個原理 ,那麼我們就可以用
if not isnumeric(request.querystring("id")) then response.redirect "index.asp"
同樣的道理,在then後面你也可以加上你想要的,如果加上別的別忘了加上乙個
response.end
表示結束!
現在給大家解析以下,這句話的意思是:如果在ie位址列上id後面的引數不是數字的話,那麼實行then後面的語句!
大家看到了吧,這裡就是管家的地方,所以我說是「完美過濾」!
比如大家平時檢查時候有漏洞的時候一般就是在id後面加上一些特殊的符號來達到我們想要的目的!而著函式就是我們的天敵了!
只要你在id後面加上,比喻,(『)或(;)或(,)或( and 1=1)...等等,
都使id已經變為了非數字,也就是使then後面的語句本實行了!
從而達到了我們的過濾目的!
對與一些純數字的過濾最好莫過於用指令碼語言的本身函式:
比如 asp 指令碼可以用 cint,clong,isnumeric 這樣的過濾可以說是最嚴格的一種了。php指令碼裡可以用intval 這樣的函式。
對於不能過濾「」情況下跨站的指令碼的防範手段是,將所有的尖擴號都轉化成對應的html編碼。對於「」 表示成「>」 需要特別注意的是對於上面所有的輸入過濾都要在服務端進行,客戶端的所有驗證都會等於徒勞無用,可以很輕鬆的繞過。
asp中對多餘引數的完美過濾
上次寫了一篇關於引數過濾的帖子,記得那時用的是instr函式,只是進行了某個引數的比較,要使能過濾很多的引數,那麼要在比較區內加上大量的過濾符號,今天,也就是今天,筆者給大家帶來乙個更加完美的過濾方式,就是用到微軟的vbscript裡面的乙個isnumeric 函式!好了,廢話少說,先來看看他的描述...
asp中對多餘引數的完美過濾
上次寫了一篇關於引數過濾的帖子,記得那時用的是instr函式,只是進行了某個引數的比較,要使能過濾很多的引數,那麼要在比較區內加上大量的過濾符號,今天,也就是今天,筆者給大家帶來乙個更加完美的過濾方式,就是用到微軟的vbscript裡面的乙個isnumeric 函式!好了,廢話少說,先來看看他的描述...
我的ID型引數過濾防注入之道(ASP)
判斷使用者提交的數字引數,諸如 asp?id 思路 使用者提交的不是數字的情況下 asp?id and 1 1 將後面非數字字元全部過濾 這樣,在被注入或發生其他情況時,都能顯示正確的資料 下面是函式 function tonum str if isnumeric str then tonum cl...