一定要對用戶可能輸入的諸如引號,尖括號等特殊字符給予足夠重視,它們可能引發嚴重的安全問題。SQL注入的基本手法之一,就是利用對單引號未加過濾的安全漏洞。
用戶的輸入無非兩個用途:對數據庫操作或顯示在頁面上,下面分別對這兩種情況下特殊字符的處理加以說明。
1. 對數據庫操作
用戶輸入的數據用於對數據庫進行操作時,又分為兩種情況,一是進行寫庫操作,二是作為查詢條件。
1.1 寫庫操作
(insert及update都視為寫庫操作,這果以insert為例說明,update的處理相同)
一般采用insert語句或AddNew方法兩種方式進行寫庫操作,我們先來看insert語句:
DIM username,sqlstr
username = trim(Request.Form("uname"))
sqlstr = "insert into [userinfo] (username) values ('"& username &"')"
以SQL Server為例,使用這種方式寫庫,如果username中含用單引號('),會出錯。使用下面的自定義函數,可以將單引號進行轉換:
Rem 轉換SQL非法字符
function SQLEncode(fString)
if isnull(fString) then
SQLEncode = ""
exit function
end if
SQLEncode=replace(fString,"'","''")
end function
以上函數將一個單引號轉換為兩個連續的單引號,數據庫能夠接受,並以一個單引號寫入。SQL語句改為:
sqlstr = "insert into [userinfo] (username) values ('"& SQLEncode(username) &"')"
再來看AddNew方法:
DIM username
username = trim(Request.Form("uname"))
'MyRst為Recordset對象,MyConn為Connection對象
MyRst.open "[userinfo]",MyConn,0,3
MyRst.AddNew
MyRst("username").Value = username
MyRst.Update
MyRst.Close
使用這種方式寫庫時,不必調用SQLEncode()對單引號進行轉換,數據庫會自行處理。
對於存儲過程的的參數,同樣不必進行單引號的轉換。
建議大家利用存儲過程進行操作,好處嘛,我在《ASP與存儲過程》一文中已做了闡述。否則,建議使用AddNew方法寫庫,好處不僅僅在於避免對單引號進行處理,本文對此不作深入探討。
1.2 用戶輸入做為查詢條件
如果用戶輸入的數據作為查詢條件出現在where子句中,不論該where子句屬於update語句、delete語句還是select語句,都要對單引號進行轉換。
2. 用戶輸入的數據作為輸出,顯示在頁面上
我們這裡只討論不允許用戶使用HTML代碼的情況,也就是說,即使用戶輸入了HTML代碼,這些數據也不會以HTML代碼的形式顯示。至於允許用戶使用Html代碼的情況,比較復雜,以後專文探討。
用戶輸入的數據是絕對不可以不加處理,原樣顯示的。如果其中包含Html或JS代碼,使你的頁面混亂不堪倒是小事,甚至可以格掉你的硬盤。
輸出顯示在頁面上的數據,有可能是用戶的直接輸入,或是取自數據庫。可以看到以上在入庫時的處理只是轉換了單引號,對尖括號,雙引號等特殊字符並未處理,我們放在輸出的時候再進行處理。
ASP中的server.HTMLEncode()方法可以將許多字符轉換為“Html字符”,如將<轉換為<,將>轉換為>等等。
在數據顯示在頁面上之前,可以用server.HtmlEncode()對其進行轉換。但是該方法不會對回車,空格進行轉換,這樣就造成以下問題:如果用戶是通過textarea控件輸入的數據,輸出時將不會保留原有格式,不僅沒有回車換行,多個空格也只會顯示為一個。為了解決這個問題,我們使用以下自定義函數:
Rem 轉換Html非法字符,用於輸出顯示時
function HtmlEncode(fString)
if not isnull(fString) then
fString = Replace(fString, ">", ">")
fString = Replace(fString, "<", "<")
fString = Replace(fString, CHR(34), """) '雙引號
fString = Replace(fString, CHR(39), "'") '單引號
fString = Replace(fString, CHR(32)&CHR(32), " ") '空格
fString = Replace(fString, CHR(9), " ") 'tab鍵值
fString = Replace(fString, CHR(10), "<br>") '換行
fString = Replace(fString, CHR(13), "") '回車
HtmlEncode = fString
end if
end function
調用以上函數,輸出通過textarea控件輸入的數據,會得到滿意的結果。
如果數據輸出在表單控件中,不論是何種控件,都可利用server.HTMLEncode()方法轉換字符,即使是對於textarea控件,也不會產生問題。雖然回車空格沒有被轉換,但在該控件中可以被識別。但是,server.HtmlEncode()方法不轉換單引號。所以,控件的值一定要使用雙引號:
<input type=text name=uname value=""" & server.HtmlEncode(username) & """>
否則,如果用戶輸入的是 '' onclick=Javascript:.... ,以上代碼將顯示為:
<input type=text name=uname value='' onclick=Javascript:...>
而Javascript命令可以做的事情實在是太多了。
以上,通過用戶輸入數據的兩種用途,對特殊字符的處理做了大概的說明。還有一種情況:用戶的輸入作為GET請求的參數值。比如通過以下URL向服務器發送請求:test.ASP?username=MyName
我一般只把數值型的數據做此類提交,並在接收時對數據類型做驗證。若是字符型的數據,如何處理特殊字符呢?有興趣的朋友思考一下吧,呵呵。
有些朋友喜歡用JAVAScript過濾特殊字符,而且限制輸入的字符很多。我不建議這麼做,一是JAVAScript是客戶端運行的,不可靠。要知道,對服務器的請求是可以偽造的,偽造者可不會加上你的Javascript代碼;二是JavaScript不太友好;三者,實際上沒有必要限制那麼多字符,限制太多,用戶會害怕的。
總結一下我對特殊字符處理的經驗吧:
1. 對接收到的數據類型進行驗證;
2. 盡量通過存儲過程對數據庫進行操作;
3. 如上一點不可行,盡量使用AddNew方法寫庫;
4. 對作為查詢條件的數據,使用自定義函數SQLEncode()轉換單引號;
5. 表單控件的值,一定要用雙引號引起來;
6. 在表單控件中顯示數據時,使用server.HtmlEncode()方法轉換字符;
7. 對於通過textarea提交的數據,使用自定義函數HtmlEncode()轉換字符並保持格式;
8. 盡量避免使用Request()接收數據,應使用Request.Form()或Request.QueryString();
9. 盡量避免通過URL傳遞字符參數(只用此方式傳遞數值參數)
