那些遇到过的问题

如何防止ASP/VBScript中的注入?

Sej*_*nus 1 vbscript code-injection input-filtering asp-classic

ASP(VBScript)中用于输入处理的最佳方式(或至少是最常用的方法)是什么?我主要关心的是HTML/JavaScript注入和SQL注入.是否有一些等同于PHP htmlspecialcharsaddslashes等等?或者我必须手动执行字符串替换功能吗?

Tom*_*lak 5

底线是这个:

  1. 在将用户输入写入页面之前,始终对其进行HTML编码.Server.HTMLEncode()为你这样做.
  2. 始终使用参数化查询与数据库进行交互.这里ÀDODB.CommandADODB.CommandParameter对象是正确的选择.
  3. 始终在呈现页面的IIS服务器上使用URLScan实用程序和IIS锁定,除非它们是版本6及更高版本,不再需要这些工具.

如果你坚持点1和2 亦步亦趋,我想不出太多可能出错.

大多数漏洞来自未正确编码用户输入或从中构建SQL字符串.如果由于某种原因,HTML编码用户输入阻碍了您,那么您在应用程序中发现了一个设计缺陷.

归档时间:

查看次数:

2871 次

最近记录:

15 年 前
相关归档
运行Powershell而不是VBScript有什么好处? 14
vbscript调试器 11
HTTP GET请求,ASP - 我输了! 10
通过msxml2.ServerXMLHTTP提供身份验证信息 6
使用 DirectorySearcher 时如何防止 LDAP 注入 6
如何在asp经典中使用YYYY-MM-DD日期格式? 4
在Web开发中是否有"Client Side"VBScript这样的东西? 3
如何从cmd运行VBS脚本? 2
如何使用经典的asp连接到SQL数据库? 1
自定义vb脚本标题栏标题 1
难疑归档
在JavaScript中编码URL? 2392
如何在jQuery中选择具有多个类的元素? 1985
在GitHub上使用https://时有没有办法跳过密码输入? 1806
删除包含特定字符串的文本文件中的行 1670
将浮点数限制为两个小数点 1527
如何在不注销并重新登录的情况下重新加载.bashrc? 1510
修复一个Git分离的头? 1318
你如何在YAML中阻止评论? 1272
使用PHP"注意:未定义的变量","注意:未定义的索引"和"通知:未定义的偏移量" 1119
在Notepad ++中将制表符转换为空格 1042