Iniezione script

**freezone** · 05-04-2007, 08:42

codice:

'###########################################################################
'#########  Funzion per eliminare il codice superfluo dei form   ###########
'###########################################################################
Function togliHTML(strHTML) 
	'Eliminazione dei tag HTML 
	If strHTML <> "" Then
		
		Dim objRegExp, strOutput 
		Set objRegExp = New Regexp 
		
		objRegExp.IgnoreCase = True 
		objRegExp.Global = True 
		objRegExp.Pattern = "<%(|.\n)+?>" 
		
		'Replace Tutti i tag HTML con una stringa vuota 
		strOutput = objRegExp.Replace(strHTML, "") 
		
		'Replace tutti < e > con &lt; e &gt; e le virgolette ", '
		strOutput = Replace(strOutput, "<", "&lt;") 
		strOutput = Replace(strOutput, ">", "&gt;") 
		strOutput = Replace(strOutput, """", "&quot;")
		strOutput = Replace(strOutput, "'", "''")
		
		togliHTML = strOutput 'Valore che andrà in uscita 
		Set objRegExp = Nothing 
	End If
End Function

'###########################################################################
'#########  Funzion per aggiungere il codice HTML                ###########
'###########################################################################
Function addHTML(strHTML) 
	'Eliminazione dei tag HTML 
	If strHTML <> "" Then
		Dim objRegExp, strOutput 
		Set objRegExp = New Regexp 
		
		objRegExp.IgnoreCase = True 
		objRegExp.Global = True 
		objRegExp.Pattern = "<%(|.\n)+?>" 
		
		'Replace Tutti i tag HTML con una stringa vuota 
		strOutput = objRegExp.Replace(strHTML, "") 
		
		'Replace tutti < e > con &lt; e &gt; e le virgolette ", '
		strOutput = Replace(strOutput, "&lt;", "<") 
		strOutput = Replace(strOutput, "&gt;", ">") 
		strOutput = Replace(strOutput, "&quot;", """")
		strOutput = Replace(strOutput, "''", "'")
		strOutput = Replace(LCase(strOutput), "<script", "")
		strOutput = Replace(LCase(strOutput), "<iframe", "")
		strOutput = Replace(LCase(strOutput), "<meta", "")
		strOutput = Replace(LCase(strOutput), "<body", "")
		strOutput = Replace(LCase(strOutput), "<embed", "")
		
		addHTML = strOutput 'Valore che andrà in uscita 
		Set objRegExp = Nothing 
	End If
End Function

Solitamente uso queste due funzioni (ASP) applicate alle enties che devono scrivere nel dabatase. La prima è applicata alla Request.Form("campo") che poi memorizzo nel database la seconda in fase di visualizzazione dei contenuti del database. Può bastare?

Discussione: Iniezione script

Strumenti discussione

Ricerca discussione

Visualizza

Visualizzazione discussione

Permessi di invio