|
|
|
|
|
|
|
|
Dicas
|
|
|
ASP - Active Server Page (Miscelâneas)
|
|
 |
Título da Dica: Evitando a ação de Hackers amadores
|
 |
|
|
|
Postada em 2/10/2003 por ~Ð@®£@Ñ
É muito comum em desenvolvimento para web precisarmos receber algo que o usuário digita, gravarmos no banco de dados e exibirmos essa informação na página um pouco mais tarde.
É nesse ponto que muitos hackers amadores se aproveitam : digitando instruções HTML ou até mesmo JavaScript nas caixas de texto, quando a informação deles for exibida as instruções serão executadas.
Por exemplo, se for um livro de visitas, o hacker pode inserir imagens (que sabe imagens pornô?) ou qualquer outro tipo de coisa.
Para evitar isso basta ter um único cuidado : sempre que for exibir uma informação do banco de dados a informação deve ser exibida utilizando-se o Server.HTMLENCODE.
O que ele faz é substituir todos os símbolos reservados por códigos que permitam sua exibição na página. Ou seja, se alguém tentar entrar com instruções HTML as instruções não serão executadas, mas exibidas, tirando a graça de qualquer hacker amador e demonstrando que você realmente construiu bem sua página.
Ex.
Response.Write(Server.HTMLENCODE(rs.fields("nome")))
|
|
|
|
|
