Comments on: Validar Dados em ASP

By: Rodrigo

Rodrigo — Thu, 23 Dec 2010 13:26:40 +0000

Fiz o teste e a função usada
if isnumeric(request(“id”)) === true then

Se voce ir no navegador na barra do endereço e acrescentar (….) junto ao numero da variavel (id) vai da problemas.

Tera que usar alguma função que retire o ….

By: João Pedro Pereira

João Pedro Pereira — Wed, 29 Jul 2009 21:19:11 +0000

Adicionei Syntax Highlighting aos vossos posts para tornar o código mais legivel.

Francisco obrigado pela tua contribuição e tocaste num ponto que o maisAlojamento se esqueceu que foram os ataques XSS, podiamos preencher a função com mais palavras chave, mas já começa a ficar interessante.

Tenho pena é de não poder publicar a primeira função porque é copiada de outro site (nem a segunda por ser um derivado da primeira). Vamos lá puxar pela imaginação pessoal .

By: Francisco Silva

Francisco Silva — Wed, 29 Jul 2009 21:09:04 +0000

Aprofundando a função que enviaste:

function killChars(strWords)
 
dim badChars
dim newChars
 
badChars = array(”select”, “drop”, “;”, “–”, “insert”,
“delete”, “xp_”, "update", "where", "script")
newChars = strWords
 
for i = 0 to uBound(badChars)
newChars = replace(newChars, badChars(i), “”)
next
 
killChars = newChars
 
end function

Desta forma é possível fazer mais protecções pois podia-se fazer o update de campos da base de dados ou podiam ser feitos ataques XSS pois era na mesma possível inserir scripts.

By: João Pedro Pereira

João Pedro Pereira — Wed, 29 Jul 2009 20:55:02 +0000

Sem dúvida muito mais optimizado que o meu código, quanto ao tempo ganho não tenho noção de quanto será o ganho mas devemos sempre optimizar ao máximo o código pois já o povo dizia ‘grão a grão enche a galinha o papo’.

Obrigado pela tua contribuição, espero ver-te mais vezes por cá

By: maisAlojamento

maisAlojamento — Wed, 29 Jul 2009 19:05:42 +0000

Esta função seria mais aprofundada embora a de cima como restringe o parâmetro a um numérico será suficiente. Mas para outros inputs como strings esta é mais indicada pois remove comandos sql:

function killChars(strWords)
 
dim badChars
dim newChars
 
badChars = array("select", "drop", ";", "--", "insert",  
"delete", "xp_")
newChars = strWords
 
for i = 0 to uBound(badChars)
newChars = replace(newChars, badChars(i), "")
next
 
killChars = newChars
 
end function

By: maisAlojamento

maisAlojamento — Wed, 29 Jul 2009 18:59:25 +0000

viva,

em termos globais o código que propuseste deverá ser suficiente para prevenir a maior parte dos ataques via sql injection.

no entanto deixo dicas de optimizacao:

em vez de:

if IsNumeric(request("id")) === TRUE then
GetNews = "SELECT NewsID, campox, campoy, Imagem1, Imagem2, Artigo FROM empresa_News WHERE NewsID = '"&amp;request("id")&amp;"' "
Set RSNews = MyConn.execute(GetNews)

codificar assim:

id = request.querystring("id")
'ou request.form conforme a origem dos dados...
if isNumeric(id) then
 
GetNews = "SELECT NewsID, campox, campoy, Imagem1, Imagem2, Artigo FROM empresa_News WHERE NewsID = & id
'nao deverá ser preciso mais nada pois so entra aqui se for numerico
 
Set RSNews = MyConn.execute(GetNews)
end if
 
 
fica mais simples o código assim, e ganhas bastante em termos de performance.