Jump to content
Fórum Script Brasil
  • 0
Sign in to follow this  
tsarri

Limpado Query String

Question

Galera tem um site de um amigo meu que foi invadido, alias zuando ne

eu descobri o modo que ele fez isto foi sim na parte de noticias tem a index.asp, quando você clica em cima de alguma noticia, vai para a pagina noti.asp?Id=15 certo, aí que começamos a descobrir porque se eu fizer isto.

www.site.com.br/noti.asp?Id=15+update+tb_noticias+set+titulo='123'

ele vai dar um update em todas as tabelas com o titulo 123

eu tentei fazer uma função que limpasse todos os update insert e tal com o replace mais não deu certo:

Function LimpaLixo( input )

dim lixo

dim textoOK

lixo = array ("select", "drop", ";", "--", "insert", "delete", "xp_", "update")

textoOK = input

for i = 0 to LBound(lixo)

textoOK = replace( textoOK, lixo(i), "")

Next

LimpaLixo = textoOK

End Function

ele continua fazendo o upload, alguém sabe como proteger sobre isto criando uma função que proteja mesmo

vlw

Share this post


Link to post
Share on other sites

2 answers to this question

Recommended Posts

  • 0

porque não coloca atraves de request.form??

você cria um INPUT HIDDEN

junto com akela noticia

e faz um click no link com uma função submit()

em javascript

falws

qualquer duvida poste ai

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  



  • Forum Statistics

    • Total Topics
      148382
    • Total Posts
      643763
×
×
  • Create New...