Asp.Net?
net user xp_cmdshell /add exec master.dbo.xp_cmdshell net localgroup administrators select count Asc char mid ' : " insert delete from drop table update truncate from %
URLとTextBoxの入力(もちろんほかにクッキーなどの手段があります)からインジェクションができます、うちにURLに対するサニダイズなら、すべての危険コードを検査します、TextBox入力をサニタイジングする場合、正常の入力をサニタイジングしないように、記号のみをエンコードすれば、いいでしょう。
ほかの注意点:
まだ何かありましたら、コメントお願いします。
コメント:
JavaScriptサニタイズサンプル
<script language= "javascript "> <!-- var url = location.search; var re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table|update%20truncate%20| asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\ "|:|net%20user|\ '|%20or%20)(.*)$/gi; var e = re.test(url); if(e) { alert( "何をするつもりですか?"); location.href= "error.asp "; } //--> <script>
コメント: