利用instr 函式防止SQL注入

2021-04-23 03:20:10 字數 2294 閱讀 4978

學asp也有一段時間了,這幾天一直在寫自己的程式,也遇到了好多問題,我就不得不得考慮到一些現在的漏洞,比如,『 或 and 1=1等等的一些漏洞!別的先不管,今天我就來說說如何堵這個漏洞!

記得看了一篇文章(不記得什麼時候看的了),他用到了instr這個函式,具體的應該是這樣的。

if instr(request("id")," ")>0 or instr(request("id"),"'")>0 then response.redirect "index.htm"

當然,也也可以在then後面寫你想要的!這個先不管!

讓我們先來學習instr這個函式吧:

語法 instr([start, ]string1, string2[, compare])

instr 函式的語法有以下引數:

引數 描述

start 可選。數值表示式,用於設定每次搜尋的開始位置。如果省略,將從第乙個字元的位置開始搜尋。如果 start 包含 null,則會出現錯誤。如果已指定 compare,則必須要有 start 引數。

string1 必選。接受搜尋的字串表示式。

string2

必選。要搜尋的字串表示式。

compare 可選。指示在計算子字串時使用的比較型別的數值。有關數值,請參閱"設定"部分。如果省略,將執行二進位制比較。

compare 引數可以有以下值:

常數 值 描述

vbbinarycompare 0 執行二進位制比較。

vbtextcompare 1 執行文字比較。

[返回值]

instr 函式返回以下值:

如果 instr 返回

string1 為零長度 0

string1 為 null null

string2 為零長度 start

string2 為 null null

string2 沒有找到 0

在 string1 中找到 string2 找到匹配字串的位置

start > len(string2) 0

下面的示例利用 instr 搜尋字串:

dim searchstring, searchchar, mypos

searchstring ="xxpxxpxxpxxp" ' 要在其中搜尋的字串。

searchchar = "p" ' 搜尋 "p"。

mypos = instr(4, searchstring, searchchar, 1) '文字比較從第四個字元開始返回 6。

mypos = instr(1, searchstring, searchchar, 0) '二進位制比較從第1個字元開始返回 9。

mypos = instr(searchstring, searchchar) ' 返回 9。

' 預設為二進位制比較(最後乙個引數省略)。

mypos = instr(1, searchstring, "w") ' 二進位制比較從第1個字元開始返回 0 (沒有找到 "w")。

注意 instrb 函式使用包含在字串中的位元組資料,所以 instrb 返回的不是乙個字串在另乙個字串中第一次出現的字元位置,而是位元組位置。

總結概括:instr的功能就是: 返回字元或字串在另乙個字串中第一次出現的位置,好了,讓我們在看看哪個**:

if instr(request("id")," ")>0 or instr(request("id"),"'")>0 then

含義:比較 字元(空格)與字元(')在request("id")中的具體位置(進行二進位制制比較),假如找到了(空格)與(『)字元,那麼就是then 後的語句!

現在大家理解這個含義了吧!

當我看第一眼的時候我就說,假如在asp?id=90加上字元(;或,)等等一些字元時不是造樣出錯嗎?(是,回答的肯定的:)

估計又有人說,那我會在if instr(request("id")," ")>0 or instr(request("id"),"'")>0 then 語句中在加些字元,比如改為:if instr(request("id")," ")>0 or instr(request("id"),"'")>0 or instr(request("id"),";")>0 or instr(request("id"),", ")>0 then

等等,你還可以在後面加,呵呵!(這個好啊!不過比較爛:)

是,這樣加上後,確實能桃過一些所謂的黑客們的手的!

其實沒必要,大家忘了instr(request("id")," ")>0這句話了嗎,他還和(空格)比較了啊!只要有這句話,那些所謂的黑客們的,and 1 = 1 不就沒用了嗎?

利用instr 函式防止SQL注入

if instr request id 0 or instr request id 0 then response.redirect index.asp 當然,也可以在then後面寫你想要的!這個先不管!讓我們先來學習instr這個函式吧 語法 instr start,string1,string2...

利用instr 函式防止SQL注入

學asp也有一段時間了,這幾天一直在寫自己的程式,也遇到了好多問題,我就不得不得考慮到一些現在的漏洞,比如,或 and 1 1等等的一些漏洞!別的先不管,今天我就來說說如何堵這個漏洞!記得看了一篇文章 不記得什麼時候看的了 他用到了instr這個函式,具體的應該是這樣的。if instr reque...

利用instr 函式防止SQL注入

學asp也有一段時間了,這幾天一直在寫自己的程式,也遇到了好多問題,我就不得不得考慮到一些現在的漏洞,比如,或 and 1 1等等的一些漏洞!別的先不管,今天我就來說說如何堵這個漏洞!記得看了一篇文章 不記得什麼時候看的了 他用到了instr這個函式,具體的應該是這樣的。if instr reque...