狠狠色丁香婷婷综合尤物/久久精品综合一区二区三区/中国有色金属学报/国产日韩欧美在线观看 - 国产一区二区三区四区五区tv

一定要對用戶可能輸入的諸如引號，尖括號等特殊字符給予足夠重視，它們可能引發(fā)嚴(yán)重的安全問題。SQL注入的基本手法之一，就是利用對單引號未加過濾的安全漏洞。

用戶的輸入無非兩個用途：對數(shù)據(jù)庫操作或顯示在頁面上，下面分別對這兩種情況下特殊字符的處理加以說明。

1. 對數(shù)據(jù)庫操作
用戶輸入的數(shù)據(jù)用于對數(shù)據(jù)庫進行操作時，又分為兩種情況，一是進行寫庫操作，二是作為查詢條件。

1.1 寫庫操作
(insert及update都視為寫庫操作，這果以insert為例說明，update的處理相同)
一般采用insert語句或AddNew方法兩種方式進行寫庫操作，我們先來看insert語句:

DIM username,sqlstr
username = trim(Request.Form("uname"))
sqlstr = "insert into [userinfo] (username) values ('"& username &"')"

以SQL Server為例，使用這種方式寫庫，如果username中含用單引號(')，會出錯。使用下面的自定義函數(shù)，可以將單引號進行轉(zhuǎn)換：

Rem 轉(zhuǎn)換SQL非法字符
function SQLEncode(fString)
if isnull(fString) then
SQLEncode = ""
exit function
end if
SQLEncode=replace(fString,"'","''")
end function

以上函數(shù)將一個單引號轉(zhuǎn)換為兩個連續(xù)的單引號，數(shù)據(jù)庫能夠接受，并以一個單引號寫入。SQL語句改為：

sqlstr = "insert into [userinfo] (username) values ('"& SQLEncode(username) &"')"

再來看AddNew方法：

DIM username
username = trim(Request.Form("uname"))
'MyRst為Recordset對象，MyConn為Connection對象
MyRst.open "[userinfo]",MyConn,0,3
MyRst.AddNew
MyRst("username").Value = username
MyRst.Update
MyRst.Close

使用這種方式寫庫時，不必調(diào)用SQLEncode()對單引號進行轉(zhuǎn)換，數(shù)據(jù)庫會自行處理。

對于存儲過程的的參數(shù)，同樣不必進行單引號的轉(zhuǎn)換。

建議大家利用存儲過程進行操作，好處嘛，我在《ASP與存儲過程》一文中已做了闡述。否則，建議使用AddNew方法寫庫，好處不僅僅在于避免對單引號進行處理，本文對此不作深入探討。

1.2 用戶輸入做為查詢條件
如果用戶輸入的數(shù)據(jù)作為查詢條件出現(xiàn)在where子句中，不論該where子句屬于update語句、delete語句還是select語句，都要對單引號進行轉(zhuǎn)換。

2. 用戶輸入的數(shù)據(jù)作為輸出，顯示在頁面上
我們這里只討論不允許用戶使用HTML代碼的情況，也就是說，即使用戶輸入了HTML代碼，這些數(shù)據(jù)也不會以HTML代碼的形式顯示。至于允許用戶使用HTML代碼的情況，比較復(fù)雜，以后專文探討。

用戶輸入的數(shù)據(jù)是絕對不可以不加處理，原樣顯示的。如果其中包含HTML或js代碼，使你的頁面混亂不堪倒是小事，甚至可以格掉你的硬盤。

輸出顯示在頁面上的數(shù)據(jù)，有可能是用戶的直接輸入，或是取自數(shù)據(jù)庫。可以看到以上在入庫時的處理只是轉(zhuǎn)換了單引號，對尖括號，雙引號等特殊字符并未處理，我們放在輸出的時候再進行處理。

ASP中的server.HTMLEncode()方法可以將許多字符轉(zhuǎn)換為“HTML字符”，如將<轉(zhuǎn)換為<，將>轉(zhuǎn)換為>等等。

在數(shù)據(jù)顯示在頁面上之前，可以用server.HTMLEncode()對其進行轉(zhuǎn)換。但是該方法不會對回車，空格進行轉(zhuǎn)換，這樣就造成以下問題：如果用戶是通過textarea控件輸入的數(shù)據(jù)，輸出時將不會保留原有格式，不僅沒有回車換行，多個空格也只會顯示為一個。為了解決這個問題，我們使用以下自定義函數(shù)：

Rem 轉(zhuǎn)換HTML非法字符，用于輸出顯示時
function HTMLEncode(fString)
if not isnull(fString) then
fString = Replace(fString, ">", ">")
fString = Replace(fString, "<", "<")
fString = Replace(fString, CHR(34), """) '雙引號
fString = Replace(fString, CHR(39), "'") '單引號
fString = Replace(fString, CHR(32)&CHR(32), "  ") '空格
fString = Replace(fString, CHR(9), " ") 'tab鍵值
fString = Replace(fString, CHR(10), "<br>") '換行
fString = Replace(fString, CHR(13), "") '回車
HTMLEncode = fString
end if
end function

調(diào)用以上函數(shù)，輸出通過textarea控件輸入的數(shù)據(jù)，會得到滿意的結(jié)果。

如果數(shù)據(jù)輸出在表單控件中，不論是何種控件，都可利用server.HTMLEncode()方法轉(zhuǎn)換字符，即使是對于textarea控件，也不會產(chǎn)生問題。雖然回車空格沒有被轉(zhuǎn)換，但在該控件中可以被識別。但是，server.HTMLEncode()方法不轉(zhuǎn)換單引號。所以，控件的值一定要使用雙引號：

<input type=text name=uname value=""" & server.HTMLEncode(username) & """>

否則，如果用戶輸入的是 '' onclick=javascript:.... ,以上代碼將顯示為：

<input type=text name=uname value='' onclick=javascript:...>

而javascript命令可以做的事情實在是太多了。

以上，通過用戶輸入數(shù)據(jù)的兩種用途，對特殊字符的處理做了大概的說明。還有一種情況：用戶的輸入作為GET請求的參數(shù)值。比如通過以下URL向服務(wù)器發(fā)送請求：test.asp?username=MyName

我一般只把數(shù)值型的數(shù)據(jù)做此類提交，并在接收時對數(shù)據(jù)類型做驗證。若是字符型的數(shù)據(jù)，如何處理特殊字符呢？有興趣的朋友思考一下吧，呵呵。

有些朋友喜歡用JAVAScript過濾特殊字符，而且限制輸入的字符很多。我不建議這么做，一是JAVAScript是客戶端運行的，不可靠。要知道，對服務(wù)器的請求是可以偽造的，偽造者可不會加上你的JAVAScript代碼；二是JAVAScript不太友好；三者，實際上沒有必要限制那么多字符，限制太多，用戶會害怕的。

總結(jié)一下我對特殊字符處理的經(jīng)驗吧：

1. 對接收到的數(shù)據(jù)類型進行驗證；
2. 盡量通過存儲過程對數(shù)據(jù)庫進行操作；
3. 如上一點不可行，盡量使用AddNew方法寫庫；
4. 對作為查詢條件的數(shù)據(jù)，使用自定義函數(shù)SQLEncode()轉(zhuǎn)換單引號；
5. 表單控件的值，一定要用雙引號引起來；
6. 在表單控件中顯示數(shù)據(jù)時，使用server.HTMLEncode()方法轉(zhuǎn)換字符;
7. 對于通過textarea提交的數(shù)據(jù)，使用自定義函數(shù)HTMLEncode()轉(zhuǎn)換字符并保持格式；
8. 盡量避免使用Request()接收數(shù)據(jù)，應(yīng)使用Request.Form()或Request.QueryString();
9. 盡量避免通過URL傳遞字符參數(shù)(只用此方式傳遞數(shù)值參數(shù))

該文章在 2011/2/16 0:02:35 編輯過