警惕Jeff Atwood的" 浴室墙代码 "帖子,我认为为VBScript提供值得信赖的SQL清理功能会很有用,类似于PHP的mysql_real_escape_string()功能.
那么,如何使用VBScript正确清理数据输入到SQL查询?
这是我最近从中学到的一本书中使用的消毒函数--Sams Teach Yourself Ajax,JavaScript和PHP All in One.
我一直在自己的PHP网站上使用它.对于现实世界的使用是否安全?
function sanitizestring($var)
{
$var = strip_tags($var);
$var = htmlentities($var);
$var = stripslashes($var);
return mysql_real_escape_string($var);
}
结果来自
Sanitizer.GetSafeHtmlFragment("Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed nunc tellus, consectetur eget blandit euismod, pharetra a libero. In pretium, sem sed mollis hendrerit, libero metus condimentum tellus, eget adipiscing odio ligula at velit. Nulla luctus nisl quis sem venenatis ut suscipit mauris posuere.")
将在 256 个字符后的第一个空格处添加换行符,因此“quis sem venenatis ut suscipit mauris posuere”。将在其自己的行上。
有人对如何纠正或避免这种情况有任何建议吗?
问候,马蒂亚斯
我有一个数据 javascript 文件,它通过一些自定义代码动态添加到网站。该文件来自第三方供应商,他们可能会在文件中添加恶意代码
在将此文件添加到网站之前,我想对其进行解析,并查找恶意代码,例如重定向或警报,这些代码本质上是在项目/网站中包含的文件上执行的。
例如,我的 js 文件可能如下所示:
alert ('i am malicious');
var IAmGoodData =
[
{ Name :'test', Type:'Test2 },
{ Name :'test1', Type:'Test21' },
{ Name :'test2', Type:'Test22' }
]
我通过 XMLHttpRequest 调用将此文件加载到对象中,当此调用返回时,我可以使用该变量(这是我的文件文本)并在其中搜索单词:
var client = new XMLHttpRequest();
client.open('GET', 'folder/fileName.js');
client.onreadystatechange = function()
{
ScanText(client.responseText);
}
client.send();
function ScanText(text)
{
alert(text);
var index = text.search('alert'); //Here i can search for keywords
}
最后一行将返回索引 0,因为单词alert 位于文件中的索引 0 处。
问题:
Vaadin框架有这个有用的RichTextArea组件.但是,用户可以将有害的javascript插入到此字段中,以便在保存之前对字段的值进行清理.
Vaadin这样做的方式是什么?Vaadin的书只提到该领域"应该消毒",但没有暗示如何实际做到这一点.一周前在论坛上询问没有得到任何回复.
为此,我不想再为项目添加库.如果使用或不使用Vaadin,如何在Java中制作自己的RichTextArea消毒剂?
鉴于滚动自己的通常不是一个很好的安全想法,Rust 中是否有一个 crate 或库函数来清理文件名?最近的 'nul' crate 表明存在一些特定于操作系统的问题。
为什么-fsanitize=undefined扔
运行时错误:左移1个31个位置无法在类型'int'中表示
在这个代码上
uint32_t z;
z = 1 << 31;
?
Checkmarx 为我的 Controller 类中的以下方法提供了 XSS 漏洞。\n具体来说:此元素\xe2\x80\x99s 值(ResultsVO)然后在没有经过适当清理或验证的情况下流经代码,并最终在方法中显示给用户:
\n\n @RequestMapping(value = "/getresults", method = RequestMethod.POST, produces = "application/json")\n @ResponseBody\n public ResultsVO getConfigResults(@RequestBody ResultsVO resultsVO, HttpServletRequest request)\n throws OverrideApplicationException {\n String loggedUserId = request.getHeader("USER");\n return resultsService.getConfigResults(resultsVO, loggedUserId);\n }\nResultsVO 对象有很多 String 属性,我只是想知道是否有一种优雅的方法对它们进行编码以防止此漏洞。
\n我正在编写一个与SQLite数据库通信的iPhone应用程序,但我遇到了一个小问题.每当我尝试根据包含撇号的条件查询信息时,即使存在与所请求条件匹配的结果,也不会返回任何结果.让我来说明一些细节......
行 - - COLUMN2栏---------
//Create the sql statement
sqlite3_stmt *sqlStatement;
//Create the name of the category that will be passed in
NSString *categoryName = @"User's Data";
//Create the rest of the SQL query
NSString *sqlQuery = "SELECT * FROM theTableName WHERE Column1 = ?";
//If there are no errors in the SQL query
if (sqlite3_prepare_v2(theDatabase, sqlQuery, -1, &sqlStatement, nil) == SQLITE_OK)
{
//Bind the category name to the sql statement
sqlite3_bind_text(sqlStatement, …