Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Marcio POG

[Resolvido] código p/ evitar sql injection dando pau!

Por , em ASP Clássico

Recommended Posts

Marcio POG    0

Marcio POG
Postado

Pessoal, ao testar o que o usuário digitou em um formulário p/ ver se não está fazendo um sql injection eu recebo uns caracteres estranhos onde possui acentuação. Por exemplo, ao digitar "hélica" ele volta "h�lica". Como no mesmo formulário eu estou fazendo upload de arquivos, estou usando form enctype="multipart/form-data".

 

Eu uso o código a seguir para verificar:

 

 

engine = Upload.Form("motor")
engine = LimparTexto(engine)

function LimparTexto(str)
		str = trim(str)
		str = lcase(str)
		str = replace(str,"=","")
		str = replace(str,"'","")
		str = replace(str,"""""","")
		str = replace(str," or ","")
		str = replace(str," and ","")
		str = replace(str,"(","")
		str = replace(str,")","")
		str = replace(str,"<","[")
		str = replace(str,">","]")
		str = replace(str,"update","")
		str = replace(str,"-shutdown","")
		str = replace(str,"--","")
		str = replace(str,"'","")
		str = replace(str,"#","")
		str = replace(str,"$","")
		str = replace(str,"%","")
		str = replace(str,"¨","")
		str = replace(str,"&","")
		str = replace(str,"'or'1'='1'","")
		str = replace(str,"--","")
		str = replace(str,"insert","")
		str = replace(str,"drop","")
		str = replace(str,"delet","")
		str = replace(str,"xp_","")
		str = replace(str,"select","")
		str = replace(str,"*","")
		LimparTexto = str
	end function

 

Alguma dica de onde esse erro pode estar vindo?

já tentei colocar o charset=utf8 no topo do código. não adiantou.

 

Algum código p/ evitar sql injection que vcs sugerem?

 

Obrigado!

Compartilhar este post

Link para o post
Compartilhar em outros sites

xanburzum    169

xanburzum
Postado

Algum código p/ evitar sql injection que vcs sugerem?

olha este sempre funfo legal, pra mim

 

'****************************************************************************
*****
'******** SQL Injection Filter ***************************************************
'****************************************************************************
*****

Function SafeSQL(sInput)
  TempString = sInput
  'sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", "/", "\", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  For iCounter = 0 to uBound(sBadChars)
	TempString = replace(TempString,sBadChars(iCounter),"")
  Next
  SafeSQL = TempString
End function

Compartilhar este post

Link para o post
Compartilhar em outros sites

Marcio POG    0

Marcio POG
Postado

Cara, funfou legal mesmo. Valeu!!!

 

Algum código p/ evitar sql injection que vcs sugerem?

olha este sempre funfo legal, pra mim

 

'****************************************************************************
*****
'******** SQL Injection Filter ***************************************************
'****************************************************************************
*****

Function SafeSQL(sInput)
  TempString = sInput
  'sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", "/", "\", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  For iCounter = 0 to uBound(sBadChars)
	TempString = replace(TempString,sBadChars(iCounter),"")
  Next
  SafeSQL = TempString
End function

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos ASP Clássico
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito