サニタイジングする必要がある記号、文字列 †net user xp_cmdshell /add exec master.dbo.xp_cmdshell net localgroup administrators select count Asc char mid ' ; " \(円記号) /* ... */ -- insert delete from drop table update truncate from % 注意点 †URLとTextBoxの入力(もちろんほかにクッキーなどの手段があります)からインジェクションができます、うちにURLに対するサニタイジングなら、すべての危険コードを検査します、TextBox入力をサニタイジングする場合、正常の入力をサニタイジングしないように、記号のみをエンコードすれば、いいでしょう。 ほかの注意点:
まだ何かありましたら、コメントお願いします。 サンプル †JavaScriptサニタイズサンプル <script language= "javascript "> <!-- var url = location.search; var re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table|update%20truncate%20| asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\ "|:|net%20user|\ '|%20or%20)(.*)$/gi; var e = re.test(url); if(e) { alert( "何をするつもりですか?"); location.href= "error.asp "; } //--> <script> 参考情報 †
あなたのお住まいの地域で最安のブロードバンド選び コメント:
|