解讀初學(xué)ASP編程易犯的一個錯誤_ASP教程
推薦:談DHTML XML ASP CSS的樹形目錄樹形目錄顯示程序 問題描述: 在我們項目中常常會出現(xiàn)自關(guān)聯(lián)的數(shù)據(jù)表,如果我們從整體看去,整個表就呈現(xiàn)為一個樹形數(shù)據(jù)結(jié)構(gòu)(對于復(fù)雜的情況,它可能變成一個圖)。當(dāng)們對這個表進(jìn)行
在ASP編程中,身份認(rèn)證可以說是常要用到的。但怎么樣才能做到認(rèn)證的安全呢?
表單提交頁面:sub.htm
以下為引用的內(nèi)容:
<html> |
以下為引用的內(nèi)容:
SUB.asp程序 |
大家感覺以上代碼應(yīng)該沒問題啊,但是這里有一個嚴(yán)重的安全隱患:
我如果想登錄管理員的話可以在SUb.htm表單輸入框中輸入:
第一個文本框中輸入:a or 1 = 1 或 OR =
第二個文本框中輸入:a or 1 = 1 或 OR =
提交,大家會看到...“嗚,聽我說完好不好,磚頭一會再丟過來..."
"a " 和“1”為任意字符
有人會問為什么你輸入這些字符會以管理員身份進(jìn)入呢??
其實這些字符是對你程序中SQL語言的欺騙,而成功進(jìn)入的
大家看:開始程序SQL中是對表進(jìn)行查詢滿足user= "&user&" and pass= "&pass&" "條件的記錄
sql="select * from 表 where user= "&user&" and pass= "&pass&" "
我而輸入上面的代碼后就成了:
sql="select * from 表 where user= a or 1 = 1 and pass= a or 1 = 1 "
大家看看,能有不進(jìn)入的理由嗎??給我一個不進(jìn)入的理由,先!
以上USER PASS字段為字符型 如果是數(shù)字型也一樣的道理!
解決方法:
一、函數(shù)替代法:
用REPLACE將用戶端輸入的內(nèi)容中含有特殊字符進(jìn)行替換,達(dá)到控制目的啊!sql="select * from 表 where user= "&replace(user," "," ")&" and pass= "&replace(pass," "," ")&" "
這種方法每次只能替換一個字符,其實危險的字符不只是" ",還有如">"、"<"、"&"、"%"等字符應(yīng)該全控制起來。但用REPLACE函數(shù)好象不太勝任那怎么辦呢??
二、程序控制法
用程序來對客戶端輸入的內(nèi)容全部控制起來,這樣能全面控制用戶端輸入的任何可能的危險字符或代碼,我就的這個方法!
以下為引用的內(nèi)容:
<% |
分享:解析ASP與存儲過程ASP與存儲過程(Stored Procedures)的文章不少,但是我懷疑作者們是否真正實踐過。我在初學(xué)時查閱過大量相關(guān)資料,發(fā)現(xiàn)其中提供的很多方法實際操作起來并不是那么回事。對于簡單的應(yīng)用,這
- asp FSO 讀寫文件本文件實現(xiàn)代碼
- asp中isNull、isEmpty和空字符串的區(qū)別
- asp獲取用戶真實IP地址的方法
- asp連接sqlserver數(shù)據(jù)庫實現(xiàn)代碼
- asp中正則表達(dá)式過濾html代碼函數(shù)
- asp中g(shù)et post提交表單區(qū)別
- 網(wǎng)頁模板:ASP內(nèi)建對象Request
- xmlhttp的open方法使用詳解
- ASP的常用的自定義函數(shù)大全
- asp中用for循環(huán)的一個小技巧
- eWebEditor v3.8 列目錄
- ASP無組件分頁實現(xiàn)思路及代碼
- 相關(guān)鏈接:
- 教程說明:
ASP教程-解讀初學(xué)ASP編程易犯的一個錯誤。