Ciao
come si fa a prevenire un injection da un form in asp?
avete qualche srictp o suggerimento?
Ciao
come si fa a prevenire un injection da un form in asp?
avete qualche srictp o suggerimento?
io utilizzo varie funzioni di controllo, a parte quello sul tipo di dati (esempio email corretta)
Function FixSQL(stringa)
stringa= Replace(stringa, "--", "nonono")
stringa = Replace(stringa, "'", "''")
stringa = Replace(stringa, "%", "[%]")
stringa = Replace(stringa, "[", "[[]")
stringa = Replace(stringa, "]", "[]]")
stringa = Replace(stringa, "_", "[_]")
stringa = Replace(stringa, "#", "[#]")
stringa = Replace(stringa, "*", "nonono")
FixSQL = stringa
End function
function controlla(input)
aScorretto = array( "select", "insert", "update", "delete", "drop","--", "where" )
controlla = true
for i = lbound(aScorretto) to ubound(aScorretto)
if ( instr( 1, input, aScorretto(i), vbtextcompare ) <> 0 ) then
controlla = false
exit function
end if
next
end function
Che dati passi tramite il modulo?
~Il nome di una variabile deve riflettere il suo scopo e non il suo tipo di dati, NET Framework.
Rispondi quotando
