CSDN博客

img oyiboy

maxlength就安全了吗?

发表于2004/6/28 15:06:00  1875人阅读

分类: ASP随笔

<input type="text" name="name" size="4" maxlength="5">这行东西只要是作过网站开发的人都是很熟悉的东西了,其中size和maxlength是限制显示长度和输入字数大小。
我在一些SQL注入的防御文章里有提到在输入框里用maxlength来限制输入长度就可以防御SQL注入了。但是,下面的东西将会打破这个想法。

【注册表资料】
[HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt/拓展输入框]
@="C://拓展输入框.htm"
"contexts"=dword:00000004

【拓展输入框.htm的原码】
<script language=vbs>
set srcevent = external.menuarguments.event
set doc=external.menuarguments.document
set ele=doc.elementfrompoint( srcevent.clientx, srcevent.clienty )
if ele.type ="text" or ele.type="password" then
  ele.maxlength=2147483647
  ele.size=150
end if
</script>

【安装操作方式】
一、将“注册表资料”存成reg文件,然后导入到注册表内。
二、把“拓展输入框.htm的原码”保成拓展输入框.htm放在C:盘根目录。
三、重启IE浏览器,在输入框里点右键查看菜单能看到“拓展输入框”字样即可。

【测试】
将<input type="text" name="name" size="10" maxlength="5">存成HTML文件,双击打开,先试试,输入五个以上的字符测试限制是否有效。
然后在输入框上点右键选择"拓展输入框",哈,看到了什么,输入字符试试。

【本文目的】
在客户端的东西几乎就是掌握在用户手里。所以,如果要限制输入的资料,一定要在服务器上作处理。

0 0

相关博文

我的热门文章

img
取 消
img