利用instr()函数防止SQL注入攻击
学asp也有一段时间了,这几天一直在写自己的程序,也遇到了好多问题,我就不得不得考虑到一些现在的漏洞,比如,‘或and1=1等等的一些漏洞!别的先不管,今天我就来说说如何堵这个漏洞!
记得看了一篇文章(不记得什么时候看的了),他用到了instr这个函数,具体的应该是这样的。
If instr(Request("id"),"")>0or instr(Request("id"),"'")>0then response.redirect"index.asp"
当然,也也可以在then后面写你想要的!这个先不管!
让我们先来学习instr这个函数吧:
语法
InStr([start,]string1,string2[,compare])
InStr函数的语法有以下参数:
参数
描述
start
可选。数值表达式,用于设置每次搜索的开始位置。如果省略,将从第一个字符的位置开始搜索。如果start包含Null,则会出现错误。如果已指定compare,则必须要有start参数。
String1
必选。接受搜索的字符串表达式。
String2
必选。要搜索的字符串表达式。
Compare
可选。指示在计算子字符串时使用的比较类型的数值。有关数值,请参阅"设置"部分。如果省略,将执行二进制比较。
compare参数可以有以下值:
常数值描述
vbBinaryCompare0执行二进制比较。
vbTextCompare1执行文本比较。
[返回值]
InStr函数返回以下值:
如果InStr返回
string1为零长度0
string1为Null Null
string2为零长度start
string2为Null Null
string2没有找到0
在string1中找到string2找到匹配字符串的位置
start>Len(string2)0
下面的示例利用InStr搜索字符串:
Dim SearchString,SearchChar,MyPos
SearchString="XXpXXpXXPXXP"'要在其中搜索的字符串。
SearchChar="P"'搜索"P"。
MyPos=Instr(4,SearchString,SearchChar,1)'文本比较从第四个字符开始返回6。
MyPos=Instr(1,SearchString,SearchChar,0)'二进制比较从第1个字符开始返回9。
MyPos=Instr(SearchString,SearchChar)'返回9。
'缺省为二进制比较(最后一个参数省略)。
MyPos=Instr(1,SearchString,"W")'二进制比较从第1个字符开始返回0(没有找到"W")。
注意InStrB函数使用包含在字符串中的字节数据,所以InStrB返回的不是一个字符串在另一个字符串中第一次出现的字符位置,而是字节位置。
总结概括:instr的功能就是:返回字符或字符串在另一个字符串中第一次出现的位置,好了,让我们在看看哪个代码:
if instr(Request("id"),"")>0or instr(Request("id"),"'")>0then
含义:比较字符(空格)与字符(')在request("id")中的具体位置(进行二进制制比较),假如找到了(空格)与(‘)字符,那么就是then后的语句!
现在大家理解这个含义了吧!
当我看第一眼的时候我就说,假如在asp?Id=90加上字符(;或,)等等一些字符时不是造样出错吗?(是,回答的肯定的:)
估计又有人说,那我会在if instr(Request("id"),"")>0or instr(Request("id"),"'")>0then语句中在加些字符,比如改为:if instr(Request("id"),"")>0or instr(Request("id"),"'")>0or instr(Request("id"),";")>0or instr(Request("id"),",")>0then
等等,你还可以在后面加,呵呵!(这个好啊!不过比较烂:)
是,这样加上后,确实能桃过一些所谓的黑客们的手的!
其实没必要,大家忘了instr(Request("id"),"")>0这句话了吗,他还和(空格)比较了啊!只要有这句话,那些所谓的黑客们的,and1=1不就没用了吗?