《2022年利用instr()函数防止SQL注入攻击.docx》由会员分享,可在线阅读,更多相关《2022年利用instr()函数防止SQL注入攻击.docx(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2022年利用instr()函数防止SQL注入攻击学asp也有一段时间了,这几天始终在写自己的程序,也遇到了好多问题,我就不得不得考虑到一些现在的漏洞,比如, 或 and 1=1等等的一些漏洞!别的先不管,今日我就来说说如何堵这个漏洞!记得看了一篇文章(不记得什么时候看的了),他用到了instr这个函数,详细的应当是这样的。If instr(Request(id), )>0 or instr(Request(id),)>0 then response.redirect index.asp当然,也也可以在then后面写你想要的!这个先不管!让我们先来学习instr这个函数吧:语法In
2、Str(start, string1, string2, compare)InStr 函数的语法有以下参数:参数描述start可选。数值表达式,用于设置每次搜寻的起先位置。假如省略,将从第一个字符的位置起先搜寻。假如 start 包含 Null,则会出现错误。假如已指定 compare,则必需要有 start 参数。 String1必选。接受搜寻的字符串表达式。 String2必选。要搜寻的字符串表达式。 Compare可选。指示在计算子字符串时运用的比较类型的数值。有关数值,请参阅设置部分。假如省略,将执行二进制比较。compare 参数可以有以下值:常数 值 描述vbBinaryCompa
3、re 0 执行二进制比较。vbTextCompare 1 执行文本比较。返回值InStr 函数返回以下值:假如 InStr 返回string1 为零长度 0string1 为 Null Nullstring2 为零长度 startstring2 为 Null Nullstring2 没有找到 0在 string1 中找到 string2 找到匹配字符串的位置start > Len(string2) 0下面的示例利用 InStr 搜寻字符串:Dim SearchString, SearchChar, MyPosSearchString =XXpXXpXXPXXP 要在其中搜寻的字符串。Se
4、archChar = P 搜寻 P。MyPos = Instr(4, SearchString, SearchChar, 1) 文本比较从第四个字符起先返回 6。MyPos = Instr(1, SearchString, SearchChar, 0) 二进制比较从第1个字符起先返回 9。MyPos = Instr(SearchString, SearchChar) 返回 9。 缺省为二进制比较(最终一个参数省略)。MyPos = Instr(1, SearchString, W) 二进制比较从第1个字符起先返回 0 (没有找到 W)。留意 InStrB 函数运用包含在字符串中的字节数据,所以
5、 InStrB 返回的不是一个字符串在另一个字符串中第一次出现的字符位置,而是字节位置。总结概括:instr的功能就是: 返回字符或字符串在另一个字符串中第一次出现的位置,好了,让我们在看看哪个代码:if instr(Request(id), )>0 or instr(Request(id),)>0 then含义:比较 字符(空格)与字符()在request(id)中的详细位置(进行二进制制比较),假如找到了(空格)与()字符,那么就是then 后的语句!现在大家理解这个含义了吧!当我看第一眼的时候我就说,假如在asp?Id=90加上字符(;或,)等等一些字符时不是造样出错吗?(是
6、,回答的确定的:)估计又有人说,那我会在if instr(Request(id), )>0 or instr(Request(id),)>0 then 语句中在加些字符,比如改为:if instr(Request(id), )>0 or instr(Request(id),)>0 or instr(Request(id),;)>0 or instr(Request(id), )>0 then等等,你还可以在后面加,呵呵!(这个好啊!不过比较烂:)是,这样加上后,的确能桃过一些所谓的黑客们的手的!其实没必要,大家忘了instr(Request(id), )>0这句话了吗,他还和(空格)比较了啊!只要有这句话,那些所谓的黑客们的,and 1 = 1 不就没用了吗?