Inicio>Tutorial de programación de red>Tutorial ASP

Utilice la función instr() para prevenir ataques de inyección SQL

Autor:Eve Cole Fecha de actualización:2009-06-24 17:19:42
He estado aprendiendo ASP por un tiempo. He estado escribiendo mis propios programas estos días y encontré muchos problemas. ¡Tengo que tener en cuenta algunas lagunas actuales, como ' o y 1 = 1, etc. Independientemente de cualquier otra cosa, ¡hoy hablaré sobre cómo tapar esta laguna jurídica!

Recuerdo haber leído un artículo (no recuerdo cuándo lo leí) y él usó la función instr. Lo específico debería ser así.

Si instr(Request("id")," ")>0 o instr(Request("id"),"'")>0 entonces respuesta.redirect "index.asp"

¡Por supuesto, también puedes escribir lo que quieras después! ¡Ignora esto!

Primero aprendamos la función instr:

gramática

InStr([inicio, ]cadena1, cadena2[, comparar])

La sintaxis de la función InStr tiene los siguientes parámetros:

El inicio de .
la descripción del parámetro
es opcional. Expresión numérica que establece la posición inicial de cada búsqueda. Si se omite, la búsqueda comenzará en la posición del primer carácter. Si el inicio contiene Null, se produce un error. Si se especifica comparar, se requiere el parámetro de inicio.
Se requiere cadena1Acepta una expresión de cadena para buscar.
Cadena2
Requerido. La expresión de cadena que se va a buscar.
Comparar es opcional. Un valor numérico que indica el tipo de comparación utilizada al evaluar subcadenas. Consulte la sección "Configuración" para conocer los valores. Si se omite, se realizará una comparación binaria.
El parámetro de comparación puede tener los siguientes valores:
Descripción del valor constante
vbBinaryCompare 0 Realiza una comparación binaria.
vbTextCompare 1 Realiza una comparación de texto.

[valor de retorno]

La función InStr devuelve los siguientes valores:

Si InStr regresa

string1 tiene longitud cero 0

cadena1 es nula nula

string2 tiene un inicio de longitud cero

string2 es nulo nulo

cadena2 no encontrada 0

Encuentra cadena2 en cadena1 Encuentra la posición de la cadena coincidente

inicio > Len(cadena2) 0

El siguiente ejemplo utiliza la cadena de búsqueda InStr:

Atenuar SearchString, SearchChar, MyPos
SearchString ="XXpXXpXXPXXP" ' La cadena a buscar.
SearchChar = "P" 'Buscar "P".
MyPos = Instr(4, SearchString, SearchChar, 1) 'La comparación de texto devuelve 6 a partir del cuarto carácter.
MyPos = Instr(1, SearchString, SearchChar, 0) 'La comparación binaria devuelve 9 a partir del primer carácter.
MyPos = Instr(SearchString, SearchChar) ' Devuelve 9.
' El valor predeterminado es la comparación binaria (se omite el último argumento).
MyPos = Instr(1, SearchString, "W") 'La comparación binaria devuelve 0 a partir del carácter 1 ("W" no encontrado).

Tenga en cuenta que la función InStrB utiliza los datos de bytes contenidos en la cadena, por lo que InStrB no devuelve la posición del carácter de la primera aparición de una cadena en otra cadena, sino la posición del byte.

Resumen: La función de instr es: Devolver la posición de la primera aparición de un carácter o cadena en otra cadena Bueno, veamos qué código:

si instr(Solicitud("id")," ")>0 o instr(Solicitud("id"),"'")>0 entonces

Significado: Compare las posiciones específicas de los caracteres (espacio) y (') en la solicitud ("id") (comparación binaria). Si se encuentran los caracteres (espacio) y ('), entonces es la declaración posterior.

¡Ahora todos entienden el significado!

Cuando lo vi por primera vez dije, ¿y si está en áspid? ¿No es un error cometer un error al agregar caracteres (; o,) y otros caracteres a Id = 90? (Sí, la respuesta es sí :)

Supongo que alguien más dijo, entonces agregaré algunos caracteres en la declaración if instr(Request("id")," ")>0 o instr(Request("id"),"'")>0 then, por ejemplo. , cambie para: si instr(Request("id")," ")>0 o instr(Request("id"),"'")>0 o instr(Request("id"),";")> 0 o instr(Solicitud("id"),", ")>0 entonces
Espera, puedes agregarlo más tarde, ¡jaja! (¡Esto es bueno! Pero es peor :)
Sí, después de agregar esto, ¡de hecho puede derrotar a algunos de los llamados piratas informáticos!

De hecho, no es necesario. ¿Has olvidado la oración instr(Request("id")," ")>0? ¡Incluso la comparó con (espacio)! Mientras exista esta oración, ¿no sería inútil que los llamados hackers dijeran y 1 = 1?
Artículos relacionados