首页  »  网页设计教程  »  利用instr 函数防止SQL注入攻击

利用instr 函数防止SQL注入攻击

浏览数:共 586 次     评论:共 0 条     发布日期:2011-08-17     分类:asp

学asp也有一段时间了,这几天一直在写自己的程序,也遇到了好多问题,我就不得不得考虑到一些现在的漏洞,比如,‘ 或 and 1=1等等的一些漏洞!别的先不管,今天我就来说说如何堵这个漏洞!

记得看了一篇文章(不记得什么时候看的了),他用到了instr这个函数,具体的应该是这样的。


让我们先来学习instr这个函数吧:

语法


start可选。数值表达式,用于设置每次搜索的开始位置。如果省略,将从第一个字符的位置开始搜索。如果 start 包含 null,则会出现错误。如果已指定 compare,则必须要有 start 参数。 string2
必选。要搜索的字符串表达式。 compare 参数可以有以下值:
常数 值 描述
vbbinarycompare 0 执行二进制比较。
vbtextcompare 1 执行文本比较。 [返回值]

instr 函数返回以下值:

如果 instr 返回

string1 为零长度 0

string1 为 null null

string2 为零长度 start

string2 为 null null

string2 没有找到 0

在 string1 中找到 string2 找到匹配字符串的位置

start > len(string2) 0

下面的示例利用 instr 搜索字符串:

searchchar = "p" " 搜索 "p"。
mypos = instr(4, searchstring, searchchar, 1) "文本比较从第四个字符开始返回 6。
mypos = instr(1, searchstring, searchchar, 0) "二进制比较从第1个字符开始返回 9。
mypos = instr(searchstring, searchchar) " 返回 9。
" 缺省为二进制比较(最后一个参数省略)。
mypos = instr(1, searchstring, "w") " 二进制比较从第1个字符开始返回 0 (没有找到 "w")。 注意 instrb 函数使用包含在字符串中的字节数据,所以 instrb 返回的不是一个字符串在另一个字符串中第一次出现的字符位置,而是字节位置。

总结概括:instr的功能就是: 返回字符或字符串在另一个字符串中第一次出现的位置,好了,让我们在看看哪个代码:


现在大家理解这个含义了吧!

当我看第一眼的时候我就说,假如在asp?id=90加上字符(;或,)等等一些字符时不是造样出错吗?(是,回答的肯定的:)

估计又有人说,那我会在if instr(request("id")," ")>0 or instr(request("id"),""")>0 then 语句中在加些字符,比如改为:if instr(request("id")," ")>0 or instr(request("id"),""")>0 or instr(request("id"),";")>0 or instr(request("id"),", ")>0 then
等等,你还可以在后面加,呵呵!(这个好啊!不过比较烂:)
是,这样加上后,确实能桃过一些所谓的黑客们的手的!

其实没必要,大家忘了instr(request("id")," ")>0这句话了吗,他还和(空格)比较了啊!只要有这句话,那些所谓的黑客们的,and 1 = 1 不就没用了吗?



上一篇:在ASP中自动创建多级文件夹的函数 利用FSO
下一篇:ASP访问MSSQL内置对象