[問題] 關於QueryString過濾問題 (特殊字元)

看板Web_Design作者 (VNMP-90)時間12年前 (2013/11/17 16:41), 編輯推噓5(5010)
留言15則, 5人參與, 最新討論串1/1
ASP.NET Request.QueryString 有些特殊字元會讓網頁掛掉且被SQL被注入 目前解決方法是出現某些字元出現錯誤例如說("'" "update"等) 但我發現有一些字元還是沒法設定 譬如說:"?" "/"等 因這些在網頁是必需出現的 這些字元輸入在網頁裡還是掛掉 懇請問大家下解決方法 也可以到SUBSTRING OR INDEXOF來處理嗎? 感覺會很複雜 再次謝謝大家 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 60.244.18.205
11/17 19:06, , 1F
sql injet. 是因為你用了querying 參數當成你sql的參數吧~有
11/17 19:06, 1F
11/17 19:06, , 2F
將網址先做htmlencode嗎@@
11/17 19:06, 2F
11/17 19:33, , 3F
沒 先轉HTML CODE嗎?
11/17 19:33, 3F
11/17 19:34, , 4F
恩 沒錯 我把querying 參數當成我sql的參數
11/17 19:34, 4F
11/17 19:34, , 5F
說錯 先轉htmlencode嗎
11/17 19:34, 5F
11/17 19:41, , 6F
先urlencode,撈進來後再做urldecode
11/17 19:41, 6F
11/17 19:52, , 7F
OK 我試看看 感謝提供的方法
11/17 19:52, 7F
11/17 20:26, , 8F
補充:某些拍賣網站的某頁面?ID=1 但我今天故意輸入
11/17 20:26, 8F
11/17 20:26, , 9F
後面加上 英文 OR 單引號 等 我看都會過濾掉例如說輸入
11/17 20:26, 9F
11/17 20:27, , 10F
單引號本來?ID=1' 按ENTER變成?ID=1 不知如何做到
11/17 20:27, 10F
11/17 20:27, , 11F
我只是先轉到其他頁面 感覺這做法不是很好
11/17 20:27, 11F
11/18 00:49, , 12F
用header跳轉?
11/18 00:49, 12F
11/18 09:45, , 13F
httpmodule?
11/18 09:45, 13F
11/18 20:55, , 14F
server端:301 302 html:meta或是js
11/18 20:55, 14F
11/20 22:38, , 15F
OK 感謝各位方法!! 都會去試試看!
11/20 22:38, 15F
更多 gn870988 的文章
文章代碼(AID): #1IY852fI (Web_Design)