Guter Weg, um zu desinfizieren Eingang in classic asp

Ich das update von alten Projekten bei der Arbeit. Ich habe keine Erfahrung mit classic asp, obwohl ich bin vertraut mit php-scripting.

Gibt es irgendwelche Funktionen, die ich verwenden sollte?
Können Sie mir eine gute Funktion für einige grundlegende Schutz?
Gibt es so etwas wie eine parametrisierte Abfrage in asp?

Dank!

"Desinfizieren" ist der falsche Weg, um über das problem nachdenkt.

InformationsquelleAutor Sander Versluys | 2009-01-14

9

Ja, Sie können mit parametrisierten Abfragen in der klassischen ASP - (genauer, klassischen ADO).

Hier ist ein link.

Als Kodierung für die Ausgabe, könnte ich versucht sein, Sie erstellen einen wrapper für die neuesten Microsoft-Anti-XSS library und rufen Sie es mit Server.CreateObject. Ich bin weit von einem Experten auf diese Art der Sache, wie ich verbringen viel mehr Zeit in .Net, so dass ich nur denke, dass das funktionieren würde.

Server.HTMLEncode ist wirklich nicht gut genug, als es nur blacklists ein paar Codierung von Zeichen. Der Anti-XSS library ist viel besser als es whitelists, was akzeptabel ist.
- +1 für die Verpackung von Microsoft Anti-XSS library. Nach viel trial & error dies ist, was wir am Ende machen.
- In anderen Worten: Sie nicht desinfizieren Sie es. Sie Quarantäne, um es den eigenen Platz, wo es keine Gefahr, es kann behandelt werden, als code.
InformationsquelleAutor Flory
7

Immer mit Server.HTMLEncode zur Bereinigung von Benutzereingaben.

Zum Beispiel, wenn Sie die Einstellung einer Variablen aus einem Formular-Textfeld:

firstName = Server.HTMLEncode(trim(request.form("Vorname")))
- Eigentlich sollte man nie bereinigt Eingaben mit HTMLEncode. Dies ist nur nützlich für die Desinfektion der Ausgabe. Es gibt keine Garantie der Eingang ist durch einen Webbrowser dargestellt. Die einzige Sache, die Sie müssen zum Schutz vor SQL-injection (also z.B. das einfache Anführungszeichen char und dem Semikolon). Noch besser ist zu verlangen, um z.B. einen int mit CLNG in eine query-parameter.
InformationsquelleAutor Don
2

Watch out für SQL-injection. Verketten Sie keine Benutzereingaben in eine SQL-Zeichenfolge und anschließend ausführen. Stattdessen werden immer dann verwendet, parametrisierte Abfragen.
- Ja idd, kann ich der Verwendung von parametrisierten Abfragen in klassischem asp?
InformationsquelleAutor RedFilter
1

Es gibt eine Reihe von Funktionen, beginnend mit, wie IsNumber, IsArray usw., die von Interesse sein könnten. Auch wenn Sie erwarten, eine ganze Zahl, die Sie nutzen könnten CLng(Request("blabla")) um es zu bekommen, also wenn es nicht eine ganze Zahl, die CLng-Funktion wird ein Fehler ausgelöst.

InformationsquelleAutor svinto
1

Einen Weg, es zu tun könnte es sein, fügen Sie einen check-in eine header.asp - Datei, durchläuft die Request Objekt suchen für unangemessen Zeichen. Zum Beispiel:
```
<%
    for each x in Request.Form ' Do this for Request.Querystring also
        If InStr(x,"<") <> 0 Then
            ' encode the value or redirect to error page?
        End If
    next
%>
```
- Das Request-Objekt ist schreibgeschützt, so dass Sie konnte nicht direkt Bearbeiten Sie die Werte, aber ich habe für einige Projekte erstellt ein Dictionary-Objekt, in die habe ich weggeworfen, alle Werte von der eingehenden bilden, und diese Werte manipuliert werden können, wie Sie möchten...
InformationsquelleAutor user19471
0

Nur eine Funktion, die aufgerufen wird, jedes mal, wenn Sie wollen, um die Ausgabe eines Strings. Es wird Kodieren von html-und Ausgabe als text. E. g. escape html.
```
FUNCTION esc(a)
esc= Server.HTMLEncode(a)
END FUNCTION

variable = esc("<img src="https://i.imgur.com/eatOKWw.png">");

Response.Write variable
```
Ausgabe: <img src="https://i.imgur.com/eatOKWw.png">

InformationsquelleAutor csandreas1

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.