标题:[讨论]用cint判断是不是数字来防URL的SQL注入安全不安全呢
只看楼主
俺物空
Rank: 1
等 级:新手上路
帖 子:40
专家分:0
注 册:2007-8-30
 问题点数:0 回复次数:3 
[讨论]用cint判断是不是数字来防URL的SQL注入安全不安全呢
打比方网址是 topic.asp?id=123

判断id是不是数字的方法我记得有人专门写过一个函数,主要用到了isnumeric,也很简单

但是我想到了另一个更简单的办法
id=[bo]cint[/bo](request("id"))

当传过来的参数id含有注入字符的时候当然无法用int转换了,也就无法注入了。

大家认为这种方式安全吗?
搜索更多相关主题的帖子: SQL cint 数字 URL 判断 
2008-07-04 19:30
tianyu123
Rank: 1
等 级:新手上路
威 望:2
帖 子:576
专家分:0
注 册:2007-8-26
得分:0 
但这样程序会出错

topic.asp?id=123'

id=cint(request("id"))

改变一切,须从改变观念开始!
2008-07-04 20:56
hmhz
Rank: 7Rank: 7Rank: 7
等 级:贵宾
威 望:30
帖 子:1890
专家分:503
注 册:2006-12-17
得分:0 
是的,程序会有出错提示,黑客要的就是你的出错提示来判别你的数据库是什么类型的,你的程序是否存在注入漏洞
所以还是需要进行判断一下
if not(IsNumeric(request("id")) then

[编程论坛] ASP超级群:49158383  敲门暗号:ASP编程
龍艺博客 http://www.
2008-07-04 21:54
yms123
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:209
帖 子:12488
专家分:19042
注 册:2004-7-17
得分:0 
恩,最好判断一下数据类型
比如
Function IsInt(Data)
On Error Resume Next
   IF VarType(CInt)<>2 Then
      IsInt=False
   End IF
   IsInt=True      
End Function
IF not IsInt(request("id")) Then
   Response.Write "参数非数字"
End IF
2008-07-04 23:56



参与讨论请移步原网站贴子:https://bbs.bccn.net/thread-222632-1-1.html




关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.018179 second(s), 8 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved