 |
|
訂閱
上一篇
返回
下一篇
PJBlog-2.5-搜尋漏洞補強
作者: nnickk 日期: 2006-03-30 09:36
請大家在自己的PJBlog的搜尋裡,
搜尋這個字串看看,
很有意思吧!
看來是該強化search,擋所有的語法,
新增一個檔案
chtml.asp
檔案內容
CODE:
接著修改
search.asp這個檔案,
在第五行加入
找
改成
不好意思,
先前的版本犯了個錯誤,
用Server.HTMLEncode會去使用伺服器內件的函數,
所以伺服器不同會有差異。
改成HTMLEncode,
就會抓我設定的函數,
中文字就可以搜尋了,
不過,
我記得在asp.net底下會出錯,
有出現問題的歡迎提出。
好了,
一般語法的攻擊,
應該都可以避免了。
也可以抓我的檔案覆蓋就行。
[down=attachments/month_0603/k2006329223419.rar]點擊下載此文件[/down]
搜尋這個字串看看,
很有意思吧!
看來是該強化search,擋所有的語法,
新增一個檔案
chtml.asp
檔案內容
CODE:
Function HTMLEncode(fString)
If Not IsNull(fString) And fString <> "" Then
fString = Replace(fString, "&", "&")
fString = Replace(fString, ">", ">")
fString = Replace(fString, "<", "<")
fString = Replace(fString, Chr(32), " ")
fString = Replace(fString, Chr(9), " ")
fString = Replace(fString, Chr(34), """)
fString = Replace(fString, Chr(39), "'")
fString = Replace(fString, Chr(13), "")
fString = Replace(fString, Chr(10) & Chr(10), "</P><P>")
fString = Replace(fString, Chr(10), "
")
fString = Replace(fString, Chr(255), " ")
HTMLEncode = fString
End If
End Function
接著修改
search.asp這個檔案,
在第五行加入
找
SearchContent=CheckStr(Request.QueryString("SearchContent"))
改成
SearchContent=CheckStr(HTMLEncode(Request.QueryString("SearchContent")))
不好意思,
先前的版本犯了個錯誤,
用Server.HTMLEncode會去使用伺服器內件的函數,
所以伺服器不同會有差異。
改成HTMLEncode,
就會抓我設定的函數,
中文字就可以搜尋了,
不過,
我記得在asp.net底下會出錯,
有出現問題的歡迎提出。
好了,
一般語法的攻擊,
應該都可以避免了。
也可以抓我的檔案覆蓋就行。
[down=attachments/month_0603/k2006329223419.rar]點擊下載此文件[/down]
引用通告地址:
廣告專區:
收入網摘
顯示Tag關聯文章
吃肯德基只要10元--2008-06-02~2008-08-31 (2008-08-04 22:51)
前言 (2008-07-13 20:47)
蕭敬騰台中簽唱會--70-300mm人像試拍 (2008-06-22 15:26)
歸燕。回巢 (2008-06-08 12:50)
媒體的力量 (2008-06-03 21:56)
笨狗又來了 (2008-05-24 07:52)
Yahoo奇摩輸入法--好打注音 (2008-05-16 00:09)
中國四川大地震的照片已經陸續出來了 (2008-05-13 21:17)
台中高雄高鐵高捷(高雄捷運)一日遊籌備事項 (2008-05-08 22:46)
扯~駕照上的照片不是我... (2008-05-08 22:34)
前言 (2008-07-13 20:47)
蕭敬騰台中簽唱會--70-300mm人像試拍 (2008-06-22 15:26)
歸燕。回巢 (2008-06-08 12:50)
媒體的力量 (2008-06-03 21:56)
笨狗又來了 (2008-05-24 07:52)
Yahoo奇摩輸入法--好打注音 (2008-05-16 00:09)
中國四川大地震的照片已經陸續出來了 (2008-05-13 21:17)
台中高雄高鐵高捷(高雄捷運)一日遊籌備事項 (2008-05-08 22:46)
扯~駕照上的照片不是我... (2008-05-08 22:34)
heise
 |
[quote=heise] 其实不 用怎么麻烦的 不用加上面的也可以的 直接把 SearchContent=CheckStr(Request.QueryString("SearchContent")) 換成 SearchContent=CheckStr(HTMLEncode(Request.QueryString("SearchContent"))) 就可以了。 [/quote] 那必須要伺服器有內建htnlencode這個函數, 而且這個函數在伺服器上可能內容都有所不同, 所以像我現在伺服器內建的對中文就會有問題。 |
 |
其实不 用怎么麻烦的
新增一個檔案
chtml.asp
檔案內容
程序代碼
Function HTMLEncode(fString)
If Not IsNull(fString) And fString <> "" Then
fString = Replace(fString, "&", "&")
fString = Replace(fString, ">", ">")
fString = Replace(fString, "<", "<")
fString = Replace(fString, Chr(32), " ")
fString = Replace(fString, Chr(9), " ")
fString = Replace(fString, Chr(34), """)
fString = Replace(fString, Chr(39), "'")
fString = Replace(fString, Chr(13), "")
fString = Replace(fString, Chr(10) & Chr(10), " ")
fString = Replace(fString, Chr(10), " |
|
[quote=heise]你自己的BLOG改了?
你的不行呀,你自己试试看[/quote]
我的有修改了,
歡迎常來搜尋資料呀... |
OK了哦
發表評論
