上次写了
篇有关参数过滤
帖子
记得那时用是instr
只是进行了某个参数比较要使能过滤很多参数那么要在比较区内加上大量过滤符号今天也就是今天笔者给大家带来个更加完美过滤方式就是用到微软VBscript里面个isnumeric()!好了废话少说先来看看他描述和使用方法:IsNumeric
描述返回 Boolean 值指明表达式
值是否为数字
语法
IsNumeric(expression)
expression 参数可以是任意表达式
介绍说明
如果整个 expression 被识别为数字
IsNumeric 返回 True;否则
返回 False 如果 expression 是日期表达式
IsNumeric 返回 False 好了
看到这里大家明白了吗?isnumeric()这个
就是比较括号里表达试看是否为数字如果为数字这返回true如果非数字则返回false基这个原理 那么我们就可以用
not isnumeric(request.query
("id")) then response.redirect "index.asp"同样
道理在then后面你也可以加上你想要如果加上别别忘了加上个response.end
表示结束!
现在给大家解析以下
这句话意思是:如果在IE地址栏上id后面参数不是数字话那么实行then后面语句!大家看到了吧
这里就是管家地方所以我说是“完美过滤”!比如大家平时检查时候有漏洞
时候般就是在id后面加上些特殊符号来达到我们想要目!而着就是我们天敌了!只要你在id后面加上
比喻(‘)或(;)或()或( and 1=1)...等等都使id已经变为了非数字
也就是使then后面语句本实行了!从而达到了我们
过滤目!哈哈
好了参数过滤今天就说到这里!现在要干活去了:(!
篇文章: 闲来无事的用BAT实现文件下载功能篇文章: 通过安全配置IIS防止数据库文件被下载
最新评论