Discussion:
[請教]關於傳遞參數的檢查
(时间太久无法回复)
tony
2006-08-28 12:20:36 UTC
Permalink
œÐ±ÐŠUŠì:
§ÚªºWEB€€Š³€@­Ó­¶­±¬°²£«~ŠCªíproducts.aspx?proid=1
ŠbŽúžÕªº®É­Ô§ÚšÏ¥Î±N1€â°Ê­×§ï¬°proid=99999999999999©ÎŠr¥Àproid=xxfsasf,
­¶­±ŽN·|¥X¿ù.œÐ°ÝœÖ¥i¥H§iªŸŠpŠó¹ï°ÑŒÆ¶iŠæÀˬd.ŠpªGproid€£¬O«ü©w­S³ò€ºªºŒÆŠr
©Îšä¥LŠr²Å«h€£³B²z.ÁÂÁÂ!
璉璉
2006-08-28 15:14:53 UTC
Permalink
§AŠbšÏ¥Î«e¡A¥Î IsNumeric §PÂ_¬O§_¬°ŒÆŠr¡AŠAÂàŽ«¬°ŒÆŠr¡A°µ­È°ì§PÂ_¡C
¥i¥Î If Select µ¥±Ô­z¡C

ŠpªG§Aªº­È°ì¬O 10 ªºŠž€è­¿¡A€]¥i¥H¥Î¥¿³W¹BºâŠ¡šÓ³]©wœd³ò¡C
©ó news:OWYFwypyGHA.284%40TK2MSFTNGP02.phx.gbl µoªí
ŠbŽúžÕªº®É­Ô§ÚšÏ¥Î±N1€â°Ê­×§ï¬°proid=99999999999999©ÎŠr¥Àproid=xxfsasf,
­¶­±ŽN·|¥X¿ù.œÐ°ÝœÖ¥i¥H§iªŸŠpŠó¹ï°ÑŒÆ¶iŠæÀˬd.ŠpªGproid€£¬O«ü©w­S³ò€ºªºŒÆŠr
©Îšä¥LŠr²Å«h€£³B²z.ÁÂÁÂ!
--
­·¬ê¬ì§ÞÅçÃÒŠ³­­€œ¥q ASP.NET Web News Reader 0.2.3 UTF-8 Beta
ºô¯žŠa¹Ï http://tlcheng.twbbs.org/wwwmap.htm
¬y°ìšŸ¬x/°Ï°ì€ôžê·œ/®}ª@ºô/ªŽºÀ¹Ï/»y­µ³q°T €å³¹»Pµ{Š¡
Basic/Fortran/Windows API/.Net/»²§U»¡©úÀÉ ­ì©lœX¡B€å³¹»P°Qœ×
·L³nµ{Š¡³]­p·s°Qœ×°Ï MSDN §Þ³Nœ×ŸÂ¡Aºô€ÍŠ^ÂЫá§Y®É²°T¡B¹q€l¶l¥ó³qªŸ¡G
http://forums.microsoft.com/msdn-cht/default.aspx?siteid=14
--
ASPNET News Reader http://tlcheng.twbbs.org/News/Reader.aspx
RSS 2.0 http://tlcheng.twbbs.org/News/rss2.aspx?Action=List&Newsgroup=microsoft.public.tw.dotnet.framework.aspnet
tony
2006-08-29 03:26:56 UTC
Permalink
Thank you
Post by 璉璉
§AŠbšÏ¥Î«e¡A¥Î IsNumeric §PÂ_¬O§_¬°ŒÆŠr¡AŠAÂàŽ«¬°ŒÆŠr¡A°µ­È°ì§PÂ_¡C
¥i¥Î If Select µ¥±Ô­z¡C
ŠpªG§Aªº­È°ì¬O 10 ªºŠž€è­¿¡A€]¥i¥H¥Î¥¿³W¹BºâŠ¡šÓ³]©wœd³ò¡C
©ó news:OWYFwypyGHA.284%40TK2MSFTNGP02.phx.gbl µoªí
ŠbŽúžÕªº®É­Ô§ÚšÏ¥Î±N1€â°Ê­×§ï¬°proid=99999999999999©ÎŠr¥À
proid=xxfsasf,
Post by 璉璉
­¶­±ŽN·|¥X¿ù.œÐ°ÝœÖ¥i¥H§iªŸŠpŠó¹ï°ÑŒÆ¶iŠæÀˬd.ŠpªGproid€£¬O«ü©w­S³ò€ºªº
ŒÆŠr
Post by 璉璉
©Îšä¥LŠr²Å«h€£³B²z.ÁÂÁÂ!
--
­·¬ê¬ì§ÞÅçÃÒŠ³­­€œ¥q ASP.NET Web News Reader 0.2.3 UTF-8 Beta
ºô¯žŠa¹Ï http://tlcheng.twbbs.org/wwwmap.htm
Basic/Fortran/Windows API/.Net/»²§U»¡©úÀÉ ­ì©lœX¡B€å³¹»P°Qœ×
·L³nµ{Š¡³]­p·s°Qœ×°Ï MSDN §Þ³Nœ×ŸÂ¡Aºô€ÍŠ^ÂЫá§Y®É²°T¡B¹q€l¶l¥ó³qªŸ¡G
http://forums.microsoft.com/msdn-cht/default.aspx?siteid=14
--
ASPNET News Reader http://tlcheng.twbbs.org/News/Reader.aspx
RSS 2.0
http://tlcheng.twbbs.org/News/rss2.aspx?Action=List&Newsgroup=microsoft.publ
ic.tw.dotnet.framework.aspnet
unknown
2006-09-02 17:39:02 UTC
Permalink
如果你是用於資料庫的參數
建議改用Parameter的方式傳入...

還有使用ASP.NET時其實已經可以不用URL傳參數的方式作業了....
這概念我不知道提過多少次了...
你可以列表(GridView)跟內容(Detial)都作在同一頁ASPX
這樣才可以防止你其他沒又被點到的資訊外洩...

算了..沒有你們這種程式設計師...我還真找不到有漏洞的網站可以駭!

"tony" 來函:
Post by tony
Thank you
你在使用前,用 IsNumeric 判斷是否為數字,再轉換為數字,做值域判斷。
可用 If Select 等敘述。
如果你的值域是 10 的次方倍,也可以用正規運算式來設定範圍。
於 news:OWYFwypyGHA.284%40TK2MSFTNGP02.phx.gbl 發表
我的WEB中有一個頁面為產品列表products.aspx?proid=1
在測試的時候我使用將1手動修改為proid=99999999999999或字母
proid=xxfsasf,
頁面就會出錯.請問誰可以告知如何對參數進行檢查.如果proid不是指定范圍內的
數字
或其他字符則不處理.謝謝!
--
風禹科技驗證有限公司 ASP.NET Web News Reader 0.2.3 UTF-8 Beta
網站地圖 http://tlcheng.twbbs.org/wwwmap.htm
流域防洪/區域水資源/徐昇網/玫瑰圖/語音通訊 文章與程式
Basic/Fortran/Windows API/.Net/輔助說明檔 原始碼、文章與討論
微軟程式設計新討論區 MSDN 技術論壇,網友回覆後即時簡訊、電子郵件通知:
http://forums.microsoft.com/msdn-cht/default.aspx?siteid=14
--
ASPNET News Reader http://tlcheng.twbbs.org/News/Reader.aspx
RSS 2.0
http://tlcheng.twbbs.org/News/rss2.aspx?Action=List&Newsgroup=microsoft.publ
ic.tw.dotnet.framework.aspnet
Allen
2006-08-30 06:44:02 UTC
Permalink
您可以寫支小物件,傳回你要的值,順便轉換型態, 例如
int prodID = myParam("prodid", -1); //若傳入值不是數字或沒傳入,就傳回-1, 若有,順便轉成int
日後要叫用就會方便一些了
继续阅读narkive:
Loading...