problema code injection

[digitalgfx]

salve su internet ho trovato questo articolo e volevo chiedervi come va implementata la funzione nelle pagine asp per evitare il code injection.

grazie

Per quanto riguarda il code injection, il 90% dei problemi si risolvere utilizzando la funzione Server.HtmlEncode, che provvede a rendere innoqui eventuali pezzi di codice inseriti nella pagina:

<%

strHTML = "<s" & "cript>alert(document.cookie);</s" & "cript>"

' code injection
Response.Write(strHTML)

' protetto
Response.Write(Server.HtmlEncode(strHTML))

%>

[digitalgfx]

nessuno sa dirmi qualcosa in merito?

[digitalgfx]

up

[willybit]

cosa vorresti sapere in merito?

se devi stampare una stringa contenete codice html o javascript in una pagina asp e non vuoi che venga interpretato (ed eseguito) dal browser, ma che venga solo visualizzato, usi l'htmlEncode

[digitalgfx]

appunto volevo sapere come usare questa istruzione nelle pagine asp
al fine di evitare il code injection.


mi fai un esempio pratico su come implementare htmlencode nelle mie pagine?

grazie

[willybit]

Originariamente inviato da digitalgfx
' protetto
Response.Write(Server.HtmlEncode(strHTML))

l'hai già fatto tu l'esempio :master:

[digitalgfx]

si lo so questo.

dicevo pero' in quale punto della pagina asp va inserito per funzionare in modo corretto.

[willybit]

Originariamente inviato da digitalgfx
si lo so questo.

dicevo pero' in quale punto della pagina asp va inserito per funzionare in modo corretto.

VVoVe:
cosa vuol dire?!?!?!
l'htmlEncode non fa altro che l'encode di una stringa... la tua stringa contiene codici html o javascript? usi l'htmlEncode e non li contiene più...