在输入框中输入标准的HTML语句会得到什么相的结果呢?
比如一个留言本,我们留言内容中输入:
<fontsize=10>您好!</font>
假如您的ASP程式中没有屏蔽HTML语句,那么就会改变“您好”字体的大小。在留言本中改变字体大小和贴图有时并不是什么坏事,反而能够使留言本生动。但是假如在输入框中写个javascript的死循环,比如:<aherf=”http://someurl“onMouseover=”while(1){window.close(’/’)}“>特大新闻</a>
那么其他查看该留言的客人只要移动鼠标到”特大新闻“,上就会使用户的浏览器因死循环而死掉。
解决方法和建议:
编写类似程式时应该做好对此类操作的防范,譬如能够写一段程式判断客户端的输入,并屏蔽掉任何的HTML、JavaScrip。
4、AccessMDB数据库有可能被下载的漏洞
问题描述:
在用Access做后台数据库时,假如有人通过各种方法知道或猜到了服务器的Access数据库的路径和数据库名称,那么他能够下载这个Access数据库文档,这是很危险的。比如:假如您Access数据库book.mdb放在虚拟目录下的database目录下,那么有人在浏览器中输入:
http://someurl/database/book.mdb
假如您的book.mdb数据库没有事先加密的话,那book.mdb中任何重要的数据都掌控在别人的手中。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
