Discussion:
請問UrlScan 2.5 + iis 5.0
(时间太久无法回复)
Martinjc
2006-05-03 04:37:02 UTC
Permalink
在UrlScan.ini檔中
[DenyUrlSequences]的部份
如何可以確定它是正常運作的?
因為目前除了預設的幾個萬用字元可以接受外
加設了一些SQL的關鍵字在其中
可是測試結果還是可以通過
請問關於SQLinjection的部份
是否可以在UrlScan中阻擋?
要是可以的話,是否就是加在[DenyUrlSequences]其中,就可以了
麻煩會的人可以告訴我ㄧ下,拜託拜託
謝謝
璉璉
2006-05-03 13:13:28 UTC
Permalink
通常隱碼攻擊是在 Form 裡面的 Text 或 TextArea ,很少直接放在 url 內,就算放在 url 內,也會做 urlEncode ,所以沒差吧~
Post by Martinjc
在UrlScan.ini檔中
[DenyUrlSequences]的部份
如何可以確定它是正常運作的?
因為目前除了預設的幾個萬用字元可以接受外
加設了一些SQL的關鍵字在其中
可是測試結果還是可以通過
請問關於SQLinjection的部份
是否可以在UrlScan中阻擋?
要是可以的話,是否就是加在[DenyUrlSequences]其中,就可以了
麻煩會的人可以告訴我ㄧ下,拜託拜託
��
Martinjc
2006-05-03 15:10:03 UTC
Permalink
不好意思,所以是說就算將SQLinjection的某些字碼放在[DenyUrlSequences]中,也無法阻擋這樣的事情發生嗎?



"璉璉" 來函:
Post by 璉璉
通常隱碼攻擊是在 Form 裡面的 Text 或 TextArea ,很少直接放在 url 內,就算放在 url 內,也會做 urlEncode ,所以沒差吧~
Post by Martinjc
在UrlScan.ini檔中
[DenyUrlSequences]的部份
如何可以確定它是正常運作的?
因為目前除了預設的幾個萬用字元可以接受外
加設了一些SQL的關鍵字在其中
可是測試結果還是可以通過
請問關於SQLinjection的部份
是否可以在UrlScan中阻擋?
要是可以的話,是否就是加在[DenyUrlSequences]其中,就可以了
麻煩會的人可以告訴我ㄧ下,拜託拜託
謝謝
Microsoft MVP šô¥ß¥Á for Windows Help
2006-05-03 15:39:35 UTC
Permalink
±zŠn¡G
SQL Inject ªºžÑšM€§¹DÀ³žÓ¬OŠb«áºÝªºµ{Š¡³oÃä¡AŠÓ«D«eºÝªº IIS Server¡A·íµM­n³oŒË€]¬O¥i¥H¡AŠý¬O³oŒË°µ¥i¯à·|³yŠš¬YšÇ AP ¹B§@¥X²{°ÝÃD¡AšÒŠp¡G Exchange Server

--
³¹¥ß¥Á¬ãšs«Ç
·s®Ñ§Y±N°Ý¥@¡GVisual C# 2005 µ{Š¡¶}µo»P€¶­±³]­p¯µ³Z
€wžgµoŠæªº®Ñ¡GVisual Basic 2005 µ{Š¡¶}µo»P€¶­±³]­p¯µ³Z

·L³n³ÌŠ³»ù­È±M®a
Microsoft MVP
šô¥ß¥Á (Alex Chuo) for Windows Help

\==================================
|| ­Y§Úªº»¡©ú¹ï±zŠ³À°§U¡AœÐŠ^À³¡F
|| ­Y§Úªº»¡©ú¬O¿ù»~ªº¡A¥çœÐŠ^À³¡C
/==================================
€£ŽN¥ôŠóµoªíªºŠ^À³žê°T§@¥ôŠó©Ó¿Õ¡A¥B€£­t¥ôŠóŸá«O³d¥ô¡C
This posting is provided "AS IS" with no warranties, and confers no rights.
€£Šn·N«ä¡A©Ò¥H¬O»¡ŽNºâ±NSQLinjectionªº¬YšÇŠrœX©ñŠb[DenyUrlSequences]€€¡A€]µLªkªýŸ×³oŒËªºšÆ±¡µo¥Í¶Ü¡H
"æ£æ£" šÓšç¡G
³q±`ÁôœX§ðÀ»¬OŠb Form žÌ­±ªº Text ©Î TextArea ¡A«Ü€Öªœ±µ©ñŠb url €º¡AŽNºâ©ñŠb url €º¡A€]·|°µ urlEncode ¡A©Ò¥HšS®t§a~
ŠbUrlScan.iniÀÉ€€
[DenyUrlSequences]ªº³¡¥÷
Š]¬°¥Ø«e°£€F¹w³]ªºŽX­ÓžU¥ÎŠr€ž¥i¥H±µšü¥~
¥i¬OŽúžÕµ²ªGÁÙ¬O¥i¥H³q¹L
œÐ°ÝÃö©óSQLinjectionªº³¡¥÷
¬O§_¥i¥HŠbUrlScan€€ªýŸ×?
­n¬O¥i¥HªºžÜ¡A¬O§_ŽN¬O¥[Šb[DenyUrlSequences]šä€€¡AŽN¥i¥H€F
³Â·Ð·|ªº€H¥i¥H§i¶D§Ú£ž€U¡A«ô°U«ô°U
ÁÂÁÂ
Martinjc
2006-05-04 02:45:02 UTC
Permalink
章先生您好:
若是不考慮其他AP程式運作的問題的話
在URLSCAN中,如何去將SQLinjection的某些字碼阻擋起來
因為現在發現的問題就是有人將這樣子的語法貼在URL上
想說這樣子是否有方式可以阻擋
假設不改程式的話

"Microsoft MVP ??? for Windows Help" 來函:
您好:
SQL Inject 的解決之道應該是在後端的程式這邊,而非前端的 IIS Server,當然要這樣也是可以,但是這樣做可能會造成某些 AP 運作出現問題,例如: Exchange Server
--
章立民研究室
新書即將問世:Visual C# 2005 程式開發與介面設計秘訣
已經發行的書:Visual Basic 2005 程式開發與介面設計秘訣
微軟最有價值專家
Microsoft MVP
卓立民 (Alex Chuo) for Windows Help
\==================================
|| 若我的說明對您有幫助,請回應;
|| 若我的說明是錯誤的,亦請回應。
/==================================
不就任何發表的回應資訊作任何承諾,且不負任何擔保責任。
This posting is provided "AS IS" with no warranties, and confers no rights.
Post by Martinjc
不好意思,所以是說就算將SQLinjection的某些字碼放在[DenyUrlSequences]中,也無法阻擋這樣的事情發生嗎?
"璉璉" 來函:
Post by 璉璉
通常隱碼攻擊是在 Form 裡面的 Text 或 TextArea ,很少直接放在 url 內,就算放在 url 內,也會做 urlEncode ,所以沒差吧~
Post by Martinjc
在UrlScan.ini檔中
[DenyUrlSequences]的部份
如何可以確定它是正常運作的?
因為目前除了預設的幾個萬用字元可以接受外
加設了一些SQL的關鍵字在其中
可是測試結果還是可以通過
請問關於SQLinjection的部份
是否可以在UrlScan中阻擋?
要是可以的話,是否就是加在[DenyUrlSequences]其中,就可以了
麻煩會的人可以告訴我ㄧ下,拜託拜託
謝謝
Microsoft MVP šô¥ß¥Á for Windows Help
2006-05-04 03:58:46 UTC
Permalink
Martinjc ±zŠn¡G
«Ü·PÁ±z¥D°Êšó§U€á¬FšÆ°È©ÒÀ°§Ú§ï€F©m€F
¥i±€šä¥L¬ÛÃöªºÃÒ¥ó¡BÃҮѡA±z§Ñ€F¶¶«KÀ°Š£§ï
®`§ÚÁÙ­n¿ËŠÛšì³\ŠhŠa€è¥h§ï©m¡A¹³Ša¬FšÆ°È©Ò¡BºÊ²z©Ò¡BŸÇ®Õ¡E¡E¡E XD

šÌ·Ó±zªº­nšD¡A±z¥i¥H­×§ï€U­±³ošâ­Ó³]©w¡G
NormalizeUrlBeforeScan=0
VerifyNormalization=0

­ìŠ]Šp€U¡G
1. Šb¶Ç°e¶išÓ¥B€wžg canonicalization ªº URL €~·|³Q UrlScan §ìšÓÀˬd¡A°²³]
client °e¶išÓªº¬O ¡uAlex%20Chuo¡v©Î¬O¡uAlex+Chuo¡v¡AŠb UrlScan šÓ¬Ý³£¬O€@ŒËªº¡G¡uAlex Chuo¡v¡AŠÓ±z­ì¥ý­nªýŸ×ªº¬O¥]§t¡u%20¡v»P¡u+¡vªºŠrŠê ¡AžÕ°Ý³oŒË¬O§_³s¥¿
±`ªº¡uAlex Chuo¡v³£€@šÖ³QªýŸ×€F©O¡H
¬°€FÁקK³oºØ±¡ªp¡A©Ò¥H­nÅý raw URL ­ì­ì¥»¥»Ša°eµ¹ UrlScan šÓÀˬd¡A­n³]©w¡GNormalizeUrlBeforeScan=0

2.·í URL ¥]§t¡u%2520¡v¡Ašä€€¡u%25¡v©Ò¥Nªíªº·N«ä¬O¡u%¡v³o­Ó²Åž¹¡AŠ]Š¹žg¹L
canonicalization €§«á¡AŠ¹®É UrlScan ©Ò¬Ýšìªº±N¬O¡u%20¡v¡AŠÓ«D¡u%2520¡v¡A³oŽN¬O¬°€°»ò­Ó€H­n±z³]©wVerifyNormalization=0ªº­ìŠ]¡C
§_«h request ·|Šb [DenyUrlSequences] €§«e¡AŽN¥ý³Q filter ±Œ¡C

¥H€W¡AœÐ°ÑŠÒ¡C

ŠAŠž±jœÕ¡Gclient °e¹LšÓªº URL request ²ÕŠX€d€džUžUºØ¡A¥ú¬O % ³o­Ó²Åž¹ŽN¥i¥HŠ³«ÜŠhºØ²ÕŠX¡A­YŠAŠÒŒ{ Unicode ªº²ÕŠX¡A€ñŠp»¡¡G%26»P
%u0026³ošâªÌ©Ò¥Nªíªº·Nžq¬O€@ŒËªº¡A¥i¬OŠb§Ú­Ìªœ±µ¬Ý©Î¬O UrlScan šÓ¬Ý¡A³£€£€@ŒË°Ú¡IŠ]¬°Šr€žªø«×ŽN€£€@ŒË¡A¬OšS¿ù¡AŠý¬O°eµ¹ IIS šÓžÑªRªº®É­Ô¡AŽN¬O€@ŒË°Ú¡I
ŽN¬OŠ]¬°³oºØ²ÕŠXªºÃD¥Ø¥i¥HŒg­Óœ×€å€F¡A³o€]¬O¬°€°»ò­Ó€HŠb¥ý«eªºŠ^ÂЀ€¡A·|«Øij³z¹L«áºÝ AP šÓ³B²z SQL injection¡A²Š³º€@­Ó¬O±q®Ú¥»µÛ€â¡A€@­Ó¬OÀYµhÂåÀY¡Až}µhÂå
ž}¡C·íµM°Õ¡I³Ì«áªº¿ïŸÜÅv¬OŠb±z€âÀY€W¡A­nŠpŠó³B²z¡AºÝµø±zªºšM©w¡C

--
³¹¥ß¥Á¬ãšs«Ç
·s®Ñ§Y±N°Ý¥@¡GVisual C# 2005 µ{Š¡¶}µo»P€¶­±³]­p¯µ³Z
€wžgµoŠæªº®Ñ¡GVisual Basic 2005 µ{Š¡¶}µo»P€¶­±³]­p¯µ³Z

·L³n³ÌŠ³»ù­È±M®a
Microsoft MVP
šô¥ß¥Á (Alex Chuo) for Windows Help

\==================================
|| ­Y§Úªº»¡©ú¹ï±zŠ³À°§U¡AœÐŠ^À³¡F
|| ­Y§Úªº»¡©ú¬O¿ù»~ªº¡A¥çœÐŠ^À³¡C
/==================================
€£ŽN¥ôŠóµoªíªºŠ^À³žê°T§@¥ôŠó©Ó¿Õ¡A¥B€£­t¥ôŠóŸá«O³d¥ô¡C
This posting is provided "AS IS" with no warranties, and confers no rights.
³¹¥ý¥Í±zŠn¡G
ŠbURLSCAN€€¡AŠpŠó¥h±NSQLinjectionªº¬YšÇŠrœXªýŸ×°_šÓ
Š]¬°²{Šbµo²{ªº°ÝÃDŽN¬OŠ³€H±N³oŒË€lªº»yªk¶KŠbURL€W
·Q»¡³oŒË€l¬O§_Š³€èŠ¡¥i¥HªýŸ×
°²³]€£§ïµ{Š¡ªºžÜ
"Microsoft MVP ??? for Windows Help" šÓšç¡G
Post by Microsoft MVP šô¥ß¥Á for Windows Help
±zŠn¡G
--
³¹¥ß¥Á¬ãšs«Ç
€wžgµoŠæªº®Ñ¡GVisual Basic 2005 µ{Š¡¶}µo»P€¶­±³]­p¯µ³Z
·L³n³ÌŠ³»ù­È±M®a
Microsoft MVP
šô¥ß¥Á (Alex Chuo) for Windows Help
\==================================
|| ­Y§Úªº»¡©ú¹ï±zŠ³À°§U¡AœÐŠ^À³¡F
|| ­Y§Úªº»¡©ú¬O¿ù»~ªº¡A¥çœÐŠ^À³¡C
/==================================
This posting is provided "AS IS" with no warranties, and confers no rights.
€£Šn·N«ä¡A©Ò¥H¬O»¡ŽNºâ±NSQLinjectionªº¬YšÇŠrœX©ñŠb[DenyUrlSequences]€€¡A€]µLªkªýŸ×³oŒËªºšÆ±¡µo¥Í¶Ü¡H
"æ£æ£" šÓšç¡G
³q±`ÁôœX§ðÀ»¬OŠb Form žÌ­±ªº Text ©Î TextArea ¡A«Ü€Öªœ±µ©ñŠb url €º¡AŽNºâ©ñŠb url €º¡A€]·|°µ urlEncode ¡A©Ò¥HšS®t§a~
ŠbUrlScan.iniÀÉ€€
[DenyUrlSequences]ªº³¡¥÷
Š]¬°¥Ø«e°£€F¹w³]ªºŽX­ÓžU¥ÎŠr€ž¥i¥H±µšü¥~
¥i¬OŽúžÕµ²ªGÁÙ¬O¥i¥H³q¹L
œÐ°ÝÃö©óSQLinjectionªº³¡¥÷
¬O§_¥i¥HŠbUrlScan€€ªýŸ×?
­n¬O¥i¥HªºžÜ¡A¬O§_ŽN¬O¥[Šb[DenyUrlSequences]šä€€¡AŽN¥i¥H€F
³Â·Ð·|ªº€H¥i¥H§i¶D§Ú£ž€U¡A«ô°U«ô°U
ÁÂÁÂ
Martinjc
2006-05-04 04:25:01 UTC
Permalink
卓先生您好:
真是抱歉,小弟我眼睛不是很好,看錯字還打錯字>"<
謝謝您的回答
不過若是將字碼的部分加上,例如:SELECT、DROP、CREATE這樣子的字碼
是否符合您說的


"Microsoft MVP ??? for Windows Help" 來函:
Martinjc 您好:
很感謝您主動協助戶政事務所幫我改了姓了
可惜其他相關的證件、證書,您忘了順便幫忙改
害我還要親自到許多地方去改姓,像地政事務所、監理所、學校‧‧‧ XD
依照您的要求,您可以修改下面這兩個設定:
NormalizeUrlBeforeScan=0
VerifyNormalization=0
原因如下:
1. 在傳送進來且已經 canonicalization 的 URL 才會被 UrlScan 抓來檢查,假設
client 送進來的是 「Alex%20Chuo」或是「Alex+Chuo」,在 UrlScan 來看都是一樣的:「Alex Chuo」,而您原先要阻擋的是包含「%20」與「+」的字串 ,試問這樣是否連正
常的「Alex Chuo」都一併被阻擋了呢?
為了避免這種情況,所以要讓 raw URL 原原本本地送給 UrlScan 來檢查,要設定:NormalizeUrlBeforeScan=0
2.當 URL 包含「%2520」,其中「%25」所代表的意思是「%」這個符號,因此經過
canonicalization 之後,此時 UrlScan 所看到的將是「%20」,而非「%2520」,這就是為什麼個人要您設定VerifyNormalization=0的原因。
否則 request 會在 [DenyUrlSequences] 之前,就先被 filter 掉。
以上,請參考。
再次強調:client 送過來的 URL request 組合千千萬萬種,光是 % 這個符號就可以有很多種組合,若再考慮 Unicode 的組合,比如說:%26與
%u0026這兩者所代表的意義是一樣的,可是在我們直接看或是 UrlScan 來看,都不一樣啊!因為字元長度就不一樣,是沒錯,但是送給 IIS 來解析的時候,就是一樣啊!
就是因為這種組合的題目可以寫個論文了,這也是為什麼個人在先前的回覆中,會建議透過後端 AP 來處理 SQL injection,畢竟一個是從根本著手,一個是頭痛醫頭,腳痛醫
腳。當然啦!最後的選擇權是在您手頭上,要如何處理,端視您的決定。
--
章立民研究室
新書即將問世:Visual C# 2005 程式開發與介面設計秘訣
已經發行的書:Visual Basic 2005 程式開發與介面設計秘訣
微軟最有價值專家
Microsoft MVP
卓立民 (Alex Chuo) for Windows Help
\==================================
|| 若我的說明對您有幫助,請回應;
|| 若我的說明是錯誤的,亦請回應。
/==================================
不就任何發表的回應資訊作任何承諾,且不負任何擔保責任。
This posting is provided "AS IS" with no warranties, and confers no rights.
Post by Martinjc
章先生您好:
若是不考慮其他AP程式運作的問題的話
在URLSCAN中,如何去將SQLinjection的某些字碼阻擋起來
因為現在發現的問題就是有人將這樣子的語法貼在URL上
想說這樣子是否有方式可以阻擋
假設不改程式的話
"Microsoft MVP ??? for Windows Help" 來函:
您好:
SQL Inject 的解決之道應該是在後端的程式這邊,而非前端的 IIS Server,當然要這樣也是可以,但是這樣做可能會造成某些 AP 運作出現問題,例如: Exchange Server
--
章立民研究室
新書即將問世:Visual C# 2005 程式開發與介面設計秘訣
已經發行的書:Visual Basic 2005 程式開發與介面設計秘訣
微軟最有價值專家
Microsoft MVP
卓立民 (Alex Chuo) for Windows Help
\==================================
|| 若我的說明對您有幫助,請回應;
|| 若我的說明是錯誤的,亦請回應。
/==================================
不就任何發表的回應資訊作任何承諾,且不負任何擔保責任。
This posting is provided "AS IS" with no warranties, and confers no rights.
Post by Martinjc
不好意思,所以是說就算將SQLinjection的某些字碼放在[DenyUrlSequences]中,也無法阻擋這樣的事情發生嗎?
"璉璉" 來函:
Post by 璉璉
通常隱碼攻擊是在 Form 裡面的 Text 或 TextArea ,很少直接放在 url 內,就算放在 url 內,也會做 urlEncode ,所以沒差吧~
Post by Martinjc
在UrlScan.ini檔中
[DenyUrlSequences]的部份
如何可以確定它是正常運作的?
因為目前除了預設的幾個萬用字元可以接受外
加設了一些SQL的關鍵字在其中
可是測試結果還是可以通過
請問關於SQLinjection的部份
是否可以在UrlScan中阻擋?
要是可以的話,是否就是加在[DenyUrlSequences]其中,就可以了
麻煩會的人可以告訴我ㄧ下,拜託拜託
謝謝
Bernard Cheah [MVP]
2006-05-11 04:31:23 UTC
Permalink
My 2 cents. SQL injection should be deal with client site validation, you
can't just rely on server flitering to do so.....
--
Regards,
Bernard Cheah
http://www.iis-resources.com/
http://www.iiswebcastseries.com/
http://msmvps.com/blogs/bernard/
šô¥ý¥Í±zŠn¡G
¯u¬O©êºp¡A€p§Ì§Ú²Ž·ú€£¬O«ÜŠn¡A¬Ý¿ùŠrÁÙ¥Ž¿ùŠr>"<
ÁÂÁ±zªºŠ^µª
€£¹L­Y¬O±NŠrœXªº³¡€À¥[€W¡AšÒŠp¡GSELECT¡BDROP¡BCREATE³oŒË€lªºŠrœX
¬O§_²ÅŠX±z»¡ªº
"Microsoft MVP ??? for Windows Help" šÓšç¡G
Post by Microsoft MVP šô¥ß¥Á for Windows Help
Martinjc ±zŠn¡G
«Ü·PÁ±z¥D°Êšó§U€á¬FšÆ°È©ÒÀ°§Ú§ï€F©m€F
¥i±€šä¥L¬ÛÃöªºÃÒ¥ó¡BÃҮѡA±z§Ñ€F¶¶«KÀ°Š£§ï
®`§ÚÁÙ­n¿ËŠÛšì³\ŠhŠa€è¥h§ï©m¡A¹³Ša¬FšÆ°È©Ò¡BºÊ²z©Ò¡BŸÇ®Õ¡E¡E¡E XD
šÌ·Ó±zªº­nšD¡A±z¥i¥H­×§ï€U­±³ošâ­Ó³]©w¡G
NormalizeUrlBeforeScan=0
VerifyNormalization=0
­ìŠ]Šp€U¡G
1. Šb¶Ç°e¶išÓ¥B€wžg canonicalization ªº URL €~·|³Q UrlScan §ìšÓÀˬd¡A°²³]
¬°€FÁקK³oºØ±¡ªp¡A©Ò¥H­nÅý raw URL ­ì­ì¥»¥»Ša°eµ¹ UrlScan šÓÀˬd¡A­n³]©w¡GNormalizeUrlBeforeScan=0
2.·í URL ¥]§t¡u%2520¡v¡Ašä€€¡u%25¡v©Ò¥Nªíªº·N«ä¬O¡u%¡v³o­Ó²Åž¹¡AŠ]Š¹žg¹L
canonicalization €§«á¡AŠ¹®É UrlScan ©Ò¬Ýšìªº±N¬O¡u%20¡v¡AŠÓ«D¡u%2520¡v¡A³oŽN¬O¬°€°»ò­Ó€H­n±z³]©wVerifyNormalization=0ªº­ìŠ]¡C
§_«h request ·|Šb [DenyUrlSequences] €§«e¡AŽN¥ý³Q filter ±Œ¡C
¥H€W¡AœÐ°ÑŠÒ¡C
ŠAŠž±jœÕ¡Gclient °e¹LšÓªº URL request ²ÕŠX€d€džUžUºØ¡A¥ú¬O % ³o­Ó²Åž¹ŽN¥i¥HŠ³«ÜŠhºØ²ÕŠX¡A­YŠAŠÒŒ{ Unicode ªº²ÕŠX¡A€ñŠp»¡¡G%26»P
ž}¡C·íµM°Õ¡I³Ì«áªº¿ïŸÜÅv¬OŠb±z€âÀY€W¡A­nŠpŠó³B²z¡AºÝµø±zªºšM©w¡C
--
³¹¥ß¥Á¬ãšs«Ç
€wžgµoŠæªº®Ñ¡GVisual Basic 2005 µ{Š¡¶}µo»P€¶­±³]­p¯µ³Z
·L³n³ÌŠ³»ù­È±M®a
Microsoft MVP
šô¥ß¥Á (Alex Chuo) for Windows Help
\==================================
|| ­Y§Úªº»¡©ú¹ï±zŠ³À°§U¡AœÐŠ^À³¡F
|| ­Y§Úªº»¡©ú¬O¿ù»~ªº¡A¥çœÐŠ^À³¡C
/==================================
This posting is provided "AS IS" with no warranties, and confers no rights.
³¹¥ý¥Í±zŠn¡G
ŠbURLSCAN€€¡AŠpŠó¥h±NSQLinjectionªº¬YšÇŠrœXªýŸ×°_šÓ
Š]¬°²{Šbµo²{ªº°ÝÃDŽN¬OŠ³€H±N³oŒË€lªº»yªk¶KŠbURL€W
·Q»¡³oŒË€l¬O§_Š³€èŠ¡¥i¥HªýŸ×
°²³]€£§ïµ{Š¡ªºžÜ
"Microsoft MVP ??? for Windows Help" šÓšç¡G
Post by Microsoft MVP šô¥ß¥Á for Windows Help
±zŠn¡G
--
³¹¥ß¥Á¬ãšs«Ç
€wžgµoŠæªº®Ñ¡GVisual Basic 2005 µ{Š¡¶}µo»P€¶­±³]­p¯µ³Z
·L³n³ÌŠ³»ù­È±M®a
Microsoft MVP
šô¥ß¥Á (Alex Chuo) for Windows Help
\==================================
|| ­Y§Úªº»¡©ú¹ï±zŠ³À°§U¡AœÐŠ^À³¡F
|| ­Y§Úªº»¡©ú¬O¿ù»~ªº¡A¥çœÐŠ^À³¡C
/==================================
This posting is provided "AS IS" with no warranties, and confers no rights.
€£Šn·N«ä¡A©Ò¥H¬O»¡ŽNºâ±NSQLinjectionªº¬YšÇŠrœX©ñŠb[DenyUrlSequences]€€¡A€]µLªkªýŸ×³oŒËªºšÆ±¡µo¥Í¶Ü¡H
"æ£æ£" šÓšç¡G
³q±`ÁôœX§ðÀ»¬OŠb Form žÌ­±ªº Text ©Î TextArea ¡A«Ü€Öªœ±µ©ñŠb url
€º¡AŽNºâ©ñŠb url €º¡A€]·|°µ urlEncode ¡A©Ò¥HšS®t§a~
ŠbUrlScan.iniÀÉ€€
[DenyUrlSequences]ªº³¡¥÷
Š]¬°¥Ø«e°£€F¹w³]ªºŽX­ÓžU¥ÎŠr€ž¥i¥H±µšü¥~
¥i¬OŽúžÕµ²ªGÁÙ¬O¥i¥H³q¹L
œÐ°ÝÃö©óSQLinjectionªº³¡¥÷
¬O§_¥i¥HŠbUrlScan€€ªýŸ×?
­n¬O¥i¥HªºžÜ¡A¬O§_ŽN¬O¥[Šb[DenyUrlSequences]šä€€¡AŽN¥i¥H€F
³Â·Ð·|ªº€H¥i¥H§i¶D§Ú£ž€U¡A«ô°U«ô°U
ÁÂÁÂ
继续阅读narkive:
Loading...