当前位置：文江博客话题详情

在经典 asp 中清理输入的好方法

发布于 2024-07-12 00:09:47 字数 161 浏览 10 评论 0原文

我必须更新工作中的旧项目。尽管我熟悉 php 脚本，但我没有任何经典 asp 的经验。

有什么我应该使用的功能吗？
能给我提供一些基本的保护功能吗？
asp中有类似参数化查询的东西吗？

谢谢！

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

梦年海沫深 2024-07-19 00:09:47

是的，您可以在经典 ASP（更准确地说，经典 ADO）中使用参数化查询。

这是链接。

至于编码输出，我可能会想为最新的 Microsoft Anti-XSS 库创建一个包装器，并使用 Server.CreateObject 调用它。我远不是这类事情的专家，因为我在 .Net 上花费了更多时间，所以我认为这会起作用。

Server.HTMLEncode 确实不够好，因为它只将一些编码字符列入黑名单。 Anti-XSS 库要好得多，因为它将可接受的内容列入白名单。

回复收藏 0 原文

晌融 2024-07-19 00:09:47

始终使用 Server.HTMLEncode 来清理用户输入。

例如，如果您要从表单文本框设置变量：

firstName = Server.HTMLEncode(trim(request.form("firstname")))

回复收藏 0 原文

软的没边 2024-07-19 00:09:47

注意 SQL 注入。不要将用户输入连接到 SQL 字符串然后执行它。相反，始终使用参数化查询。

回复收藏 0 原文

枕花眠 2024-07-19 00:09:47

有很多以 Is 开头的函数，例如 IsNumber、IsArray 等，您可能会感兴趣。另外，如果您需要一个整数，则可以使用 CLng(Request("blabla")) 来获取它，因此如果它不是整数，则 CLng 函数将引发错误。

回复收藏 0 原文

心如狂蝶 2024-07-19 00:09:47

一种方法可能是在 header.asp 文件中添加一个检查，该文件循环访问 Request 对象以查找不适当的字符。例如：

<%
    for each x in Request.Form ' Do this for Request.Querystring also
        If InStr(x,"<") <> 0 Then
            ' encode the value or redirect to error page?
        End If
    next
%>

One way to do it might be to add a check in a header.asp file that iterates through the Request object looking for inappropriate characters. For example:

<%
    for each x in Request.Form ' Do this for Request.Querystring also
        If InStr(x,"<") <> 0 Then
            ' encode the value or redirect to error page?
        End If
    next
%>

回复收藏 0 原文

~没有更多了~