利用instr()函數防止SQL注入攻擊

2019-11-18 19:22:31

字體：大中小

來源：轉載

供稿：網友

　　學asp也有一段時間了，這幾天一直在寫自己的程序，也遇到了好多問題，我就不得不得考慮到一些現在的漏洞，比如，‘ 或 and 1=1等等的一些漏洞！別的先不管，今天我就來說說如何堵這個漏洞！

　　記得看了一篇文章（不記得什么時候看的了)，他用到了instr這個函數，具體的應該是這樣的。

If instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then response.redirect "index.asp"

　　當然，也也可以在then后面寫你想要的！這個先不管！

　　讓我們先來學習instr這個函數吧：

　　語法

InStr([start, ]string1, string2[, compare])

　　InStr 函數的語法有以下參數：

參數	描述
start	可選。數值表達式，用于設置每次搜索的開始位置。如果省略，將從第一個字符的位置開始搜索。如果 start 包含 Null，則會出現錯誤。如果已指定 compare，則必須要有 start 參數。
String1	必選。接受搜索的字符串表達式。
String2	必選。要搜索的字符串表達式。
Compare	可選。指示在計算子字符串時使用的比較類型的數值。有關數值，請參閱"設置"部分。如果省略，將執行二進制比較。 compare 參數可以有以下值：常數值描述 vbBinaryCompare 0 執行二進制比較。 vbTextCompare 1 執行文本比較。

　　[返回值]

　　InStr 函數返回以下值：

　　如果 InStr 返回

　　string1 為零長度 0

　　string1 為 Null Null

　　string2 為零長度 start

　　string2 為 Null Null

　　string2 沒有找到 0

　　在 string1 中找到 string2 找到匹配字符串的位置

　　start > Len(string2) 0

　　下面的示例利用 InStr 搜索字符串:

Dim SearchString, SearchChar, MyPos
SearchString ="XXpXXpXXPXXP" ' 要在其中搜索的字符串。
SearchChar = "P" ' 搜索 "P"。
MyPos = Instr(4, SearchString, SearchChar, 1) '文本比較從第四個字符開始返回 6。
MyPos = Instr(1, SearchString, SearchChar, 0) '二進制比較從第1個字符開始返回 9。
MyPos = Instr(SearchString, SearchChar) ' 返回 9。
' 缺省為二進制比較(最后一個參數省略)。
MyPos = Instr(1, SearchString, "W") ' 二進制比較從第1個字符開始返回 0 (沒有找到 "W")。

　　注意 InStrB 函數使用包含在字符串中的字節數據，所以 InStrB 返回的不是一個字符串在另一個字符串中第一次出現的字符位置，而是字節位置。

　　總結概括：instr的功能就是：返回字符或字符串在另一個字符串中第一次出現的位置，好了，讓我們在看看哪個代碼：

if instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then

　　含義：比較字符（空格）與字符（'）在request（"id"）中的具體位置（進行二進制制比較），假如找到了（空格）與（‘）字符，那么就是then 后的語句！

　　現在大家理解這個含義了吧！

　　當我看第一眼的時候我就說，假如在asp？Id=90加上字符（；或,）等等一些字符時不是造樣出錯嗎？（是，回答的肯定的：）

　　估計又有人說，那我會在if instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then 語句中在加些字符，比如改為：if instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 or instr(Request("id"),";")>0 or instr(Request("id"),", ")>0 then
等等，你還可以在后面加，呵呵！（這個好啊！不過比較爛：）
是，這樣加上后，確實能桃過一些所謂的黑客們的手的！

　　其實沒必要，大家忘了instr(Request("id")," ")>0這句話了嗎，他還和（空格）比較了啊！只要有這句話，那些所謂的黑客們的，and 1 = 1 不就沒用了嗎？

上一篇：涉及網絡編程時,需要用到的幾個常用方法

下一篇：在ASP中自動創建多級文件夾的函數(使用FSO)