2010年6月20日 星期日

Asp 防隱碼攻擊

隱碼攻擊是由SQL接字串時所引發的安全性問題
在沒有防隱碼攻擊的一些網站可介由任何一個input輸入
' or '1' = '1
以達到入侵的需求,最慘的是還可以下一些SQL DELETE FROM的語法

在這裡介紹如何用Replace簡單的過濾字串,以防止隱碼攻擊
UserName=Replace(Request("UserName"),"'","'+chr(34)+'")  
Password=Replace(Request("Password"),"'","'+chr(34)+'")

沒有留言:

張貼留言