<![CDATA[Latest posts for the topic "Làm sao fix cái lỗi này vậy?"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Làm sao fix cái lỗi này vậy? /hvaonline/posts/list/2527.html#13670 /hvaonline/posts/list/2527.html#13670 GMT Làm sao fix cái lỗi này vậy? /hvaonline/posts/list/2527.html#13676 /hvaonline/posts/list/2527.html#13676 GMT Re: Làm sao fix cái lỗi này vậy? /hvaonline/posts/list/2527.html#13677 /hvaonline/posts/list/2527.html#13677 GMT Hix, các sư phụ đâu hết rồi.... /hvaonline/posts/list/2527.html#13917 /hvaonline/posts/list/2527.html#13917 GMT Làm sao fix cái lỗi này vậy? /hvaonline/posts/list/2527.html#13924 /hvaonline/posts/list/2527.html#13924 GMT Re: Làm sao fix cái lỗi này vậy?

hongvu23 wrote:
username=Replace(request("txtUserName"),"'","''") password=Replace(Request("txtPassword"),"'","''") strSQL="Select * from Nguoidung where username='" & username & "' and password='" & password & "'" set rs=Server.CreateObject("ADODB.Recordset") rs.open strSQL,conn .... Đoạn code nè, không biết sai ở đâu nữa.  
Mình không rành về asp nên nói suông vậy :?) Phương pháp cơ bản để tránh sql là lọc kiểu dữ liệu. Chỉ có những giá trị phù hợp với ý nghĩa của nó mới được đưa vào chương trình VD như khi đối số id thường có giá trị chỉ là số và kí tự. Khi có giá trị id bạn duyệt qua giá trị xem coi có kí tự khác ngoài chuỗi không. Nếu có tức là người dùng vô tình (hay cố ý) đưa nó vào từ thanh address. Bạn dễ dàng xử lý hơn rồi đấy ]]> /hvaonline/posts/list/2527.html#13941 /hvaonline/posts/list/2527.html#13941 GMT Re: Làm sao fix cái lỗi này vậy? /hvaonline/posts/list/2527.html#14289 /hvaonline/posts/list/2527.html#14289 GMT Địa chỉ down AWS 4.0 nè /hvaonline/posts/list/2527.html#14705 /hvaonline/posts/list/2527.html#14705 GMT Làm sao fix cái lỗi này vậy? /hvaonline/posts/list/2527.html#14734 /hvaonline/posts/list/2527.html#14734 GMT Re: Làm sao fix cái lỗi này vậy?

hongvu23 wrote:
username=Replace(request("txtUserName"),"'","''") password=Replace(Request("txtPassword"),"'","''") strSQL="Select * from Nguoidung where username='" & username & "' and password='" & password & "'" set rs=Server.CreateObject("ADODB.Recordset") rs.open strSQL,conn .... Đoạn code nè, không biết sai ở đâu nữa.  
đoạn code vầy là thằng tool báo là blind sql ij thì đúng là tào lao thật ,nhất là cái cách nó show bằng chứng blind sql bằng cách chèn " and "1"="1 trong Code:
txtUserName=1"+and+"1"="1&txtPassword=1&C1=on&cmdLogin=%C4%90%C4%83ng%20nh%E1%BA%ADp
thì hết nói nổi ps:bác LQ ,hakuso đọc kĩ đề]]> /hvaonline/posts/list/2527.html#14738 /hvaonline/posts/list/2527.html#14738 GMT Re: Làm sao fix cái lỗi này vậy? /hvaonline/posts/list/2527.html#15042 /hvaonline/posts/list/2527.html#15042 GMT Làm sao fix cái lỗi này vậy? /hvaonline/posts/list/2527.html#15177 /hvaonline/posts/list/2527.html#15177 GMT Re: Làm sao fix cái lỗi này vậy? /hvaonline/posts/list/2527.html#15395 /hvaonline/posts/list/2527.html#15395 GMT Làm sao fix cái lỗi này vậy? uhm, đúng là tớ ko xem kỹ. Coi cái quote của gamma đúng là cái tool đó thuộc loại 3 xu. Nhưng rõ ràng đoạn code trên không hề có thủ tục kiểm tra tham số. Và nếu cứ đưa vào conn như vậy thì hổng quá rồi còn gì.  bác LQ nói rõ hơn]]> /hvaonline/posts/list/2527.html#15902 /hvaonline/posts/list/2527.html#15902 GMT Làm sao fix cái lỗi này vậy? /hvaonline/posts/list/2527.html#15904 /hvaonline/posts/list/2527.html#15904 GMT