função de bloqueio com Sql Injection

Caríssimos, Boa noite!


Estou com um problema no código para bloquear a injeção do SQL.

Tenho 2 páginas ASP (logar.asp e acesso.asp)

A página logar.asp tem o formulário que eu passo os dados para a página acesso.asp que contém a função em javascript de bloqueio ao SQL Injection.


Mas quando eu envio esses dados para validação, ocorre o seguinte erro:


Erro de tempo de execução do Microsoft VBScript (0x800A000D)

Tipos incompatíveis: 'LimparTexto'

/teste/RPPS/teste11/conteudo/acesso.asp, line 41


A linha 41 é esta:

login = LimparTexto(Request.QueryString("login"))

Segue os respectivos códigos na integra:


<!--#include file="includes/config.asp"-->
<!--#include file="includes/abrebanco.asp"--><head>
<link href="<%=local%>includes/styles/link.css" rel="stylesheet" type="text/css">
font         { font-family: Arial; font-size: 11 }

<body bgcolor="<%=fundo%>" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<table width="778" height="0" border="0" align="center" cellpadding="0" cellspacing="0">
    <td height="249"><table width="778" border="0" align="center" cellpadding="0" cellspacing="0">
          <td width="56" height="260" valign="top" rowspan="2" bgcolor="#EBEBEB"></td>
          <td width="570" height="260" rowspan="2" valign="top">
            <div align="center">
              <center><table width="97%" border="0" cellpadding="0" cellspacing="0">
                <td height="0" valign="top"><form action="acesso.asp" method="get">
                    <p> </p>
                    <table width="65%" border="0" align="center" cellpadding="0" cellspacing="0">
                        <td height="0" colspan="2"><font size="4" face="Arial, Helvetica, sans-serif"><b>Administrar Imobiliária</b></font></td>
                        <td height="0" colspan="2"> </td>
                        <td height="0" colspan="2"><div align="center"><font color="#FF0000" size="1" face="Verdana, Arial, Helvetica, sans-serif">* 
                            Campos obrigatórios</font></div></td>
                        <td width="52%"><%=fonte02%>Login:*</td>
                        <td width="48%"><input name="login" type="text" maxlength="10" class="formindex"></td>
                        <td><input type=password name="senha" class="formindex"></td>
                        <td> </td>
                        <td><input type="reset" value="Limpar" style="font-family: Arial; font-size: 11">    <input type="submit" value="OK" style="font-family: Arial; font-size: 11"></td>
                        <td colspan="2"> </td>
                        <td colspan="2"><div align="center"><%=fonte01%><a href="javascript:window.history.go(-1)">Voltar</a></div></td>
                        <td colspan="2"> </td>
          <td width="154" valign="top">


<script type="text/javascript" language="javascript">
function LimparTexto(str){
str = trim(str)
str = lcase(str)
str = replace(str,"=","")
str = replace(str,"'","")
str = replace(str,"")
str = replace(str," or ","")
str = replace(str," and ","")
str = replace(str,"(","")
str = replace(str,")","")
str = replace(str,"<","[")
str = replace(str,">","]")
str = replace(str,"update","")
str = replace(str,"-shutdown","")
str = replace(str,"--","")
str = replace(str,"'","")
str = replace(str,"#","")
str = replace(str,"$","")
str = replace(str,"%","")
str = replace(str,"¨","")
str = replace(str,"&","")
str = replace(str,"'or'1'='1'","")
str = replace(str,"--","")
str = replace(str,"insert","")
str = replace(str,"drop","")
str = replace(str,"delet","")
str = replace(str,"xp_","")
str = replace(str,"select","")
str = replace(str,"*","")
LimparTexto = str

<% dim cnpath, DB, acesso, login, senha
cnpath="DBQ=" & server.mappath("../noticias/noticias.mdb")
Set DB = Server.CreateObject("ADODB.Connection")
DB.Open "DRIVER={Microsoft Access Driver (*.mdb)}; "& cnpath
login = LimparTexto(Request.QueryString("login"))
senha = LimparTexto(Request.QueryString("senha"))
Set acesso=DB.Execute("SELECT * FROM admin WHERE login='"&login&"' AND senha='"&senha&"'")
if acesso.eof then
end if




Acredito que o pessoal do fórum de ASP vai poder te ajudar melhor.


Tópico Movido

Javascript ASP

sempre uso esta função, pode te ajudar


'******** Filtro SQL Injection ***************************************************

Function SafeSQL(sInput)
  TempString = sInput
  'sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", "/", "\", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  For iCounter = 0 to uBound(sBadChars)
    TempString = replace(TempString,sBadChars(iCounter),"")
  SafeSQL = TempString
End function

Que isso ... ASP nao tem nem um PDOzinho nao? :o


Podia ter .. facilita muito nossa vida :D


Por isso que eu amo PHP *-*

com ASP você tem outros inumeros recursos, também, mais vai de cada um, eu ja AMO ASP

Tem que por a função "limpartexto" em vbscript e não javascript

Olá pessoal, já estava até desanimando... Sempre recorri ao fórum do Imasters e nunca fiquei sem ajuda...


Ainda bem que um sábio transferiu minha dúvida para o lugar certo. Muito obrigado.


Bom, as dicas foram muito válidas.

Diante disso, fiz uma mesclagem nas dicas e cheguei no resultado esperado da seguinte forma:



Function LimpaLixo(input)
lixo = array ( "select" , "drop" , ";" , "--" , "insert" , "delete" , "xp_", "'", "'or'1'='1'","&","=", "or", "and", "(", ")", "<",">", "update", "-shutdown", "#", "$", "%", "delet", "xp_", "*")

for i = 0 to uBound(lixo)
input = replace(input, lixo(i) , "")
LimpaLixo = input
End Function

 dim cnpath, DB, acesso, varlogin, varsenha
cnpath="DBQ=" & server.mappath("../noticias/noticias.mdb")
Set DB = Server.CreateObject("ADODB.Connection")
DB.Open "DRIVER={Microsoft Access Driver (*.mdb)}; "& cnpath
varlogin = LimpaLixo(Request.Form("login"))
varsenha = LimpaLixo(Request.Form("senha"))

Set acesso=DB.Execute("SELECT * FROM admin WHERE login='"&varlogin&"' AND senha='"&varsenha&"'")
if acesso.eof then
end if

Valeu mesmo pessoal do Imasters!!!


Abraços a todos



troca por esse, tem mais opções


("select", "drop", ";", "--", "insert", "delete", "xp_", "$", "#", "%", "&", "'", "(", ")", "/", "\", ":", ";", "<", ">", "=", "[", "]", "?", "`", "update", "-shutdown", "|","'or'1'='1'")

