您的位置:首页网页设计ASP实例 → 使用ASP程序对“HTML炸弹”进行屏蔽

使用ASP程序对“HTML炸弹”进行屏蔽

时间:2004/11/7 2:56:00来源:本站整理作者:蓝点我要评论(0)

我们在使用ASP来编写论坛或者BBS程序的时候,经常会遇到这样的问题,当网友在我的论坛或者BBS上面发表的文章带有HTML代码的时候,如何才能正常的显示这篇带有HTML代码的文章呢?如果在向数据库保存数据的时候或者向浏览器输出显示内容的时候不做任何处理,就会发生麻烦,比如,我发表的一篇文章带有如下的代码:







for(i=1;i<=10000;i++)



{



  parent.moveBy(20,20);parent.moveBy(-20,-20)



}







  当其他的网友阅读这篇文章的时候,他就会发现他的浏览器在不停的跳动,整个屏幕一片混乱,这也就是俗称的“HTML炸弹”。所以为了更好服务于到我们论坛贴文章和阅读文章的网友,我们就要屏蔽类似的“HTML炸弹”。屏蔽“HTML炸弹”大致有两种途径:



  第一种是在将文章保存到数据库之前就使用ASP程序过滤掉文章中的“HTML炸弹”。方法是:将文章中所有的英文半角的字符“<”以及“>”分别替换成为英文全角的字符“<”以及“>”,然后再保存到数据库中。代码如下:



'*******************************



'保存文章内容



'参数:Ftitle    文章标题



'      Fcontent 文章内容



'*******************************



Function SaveDoc(Ftitle,Fcontent)



'..................



'这里是联接数据库的代码



'....................







'过滤掉HTML炸弹以及单引号



Ftitle =replace(Ftitle,"'","''",1)



Ftitle =replace(Ftitle,"<","<",1)



Ftitle =replace(Ftitle,">",">",1)



Fcontent =replace(Fcontent,"'","''",1)



Fcontent =replace(Fcontent,"<","<",1)



Fcontent =replace(Fcontent,">",">",1)







'下面正常保存到相应的数据库中就行了



'...................



End Function



  第二种方法是:在把文章保存到数据库之前不做任何处理,只是在显示到浏览器的时候,使用ASP对从数据库中取出的数据作相应的处理,以便正常显示。因为文章的内容有可能要显示到两种地方,一个是简单的阅读,需要显示到Table;另外就是要回复文章,就要显示到TextArea框里面,所以需要的两份代码如下:



'*****************************



'阅读文章内容,显示在Table中



'参数content就是从数据库中提取出来的文章内容



'*****************************



Function ShowDocToRead(content)



  dim temp



   temp=""



'如果文章内容为空,就退出



  if trim(content)="" then



     ShowDocToRead=""



     exit function



   end if







'过滤掉HTML炸弹



   temp=replace(content,chr(13)&chr(10),"
",1)



   temp=replace(temp,chr(32),"&nbsp;",1)



   temp =replace(temp,"<","<",1)



   temp =replace(temp,">",">",1)



   ShowDocToRead=temp



End function







'**********************************



'阅读文章内容,显示在TextArea中,於用



'回覆.



'



'***********************************



Function ShowDocToWrite(content,author)



dim temp







temp=""



if trim(content)=""then



ShowDocToWrite=""



exit function



end if



content="【" & author & "在大作中谈到:】" & chr(13)&chr(10) & content temp=">" & replace(content,chr(10),chr(10)&">",1)



temp =replace(temp,"<","<",1)



temp =replace(temp,">",">",1)







ShowDocToWrite=temp



End Function







  这样,通过这两种方法,即便是文章内容包含HTML代码,或者Script语句,我们的论坛或者BBS也可以正常将文章内容显示出来了,可以有效的防止个别人对论坛或者BBS的恶意攻击,使我们的论坛或者BBS更加安全和强壮。



  另一个需要注意的地方是,文章的内容在保存到数据库之前,应当过滤掉单引号,否则在执行SQL语句的时候就会发生错误,因为大多数据库系统都是把单引号当作分割符号的。



  (以上ASP程序在WinNT4.0英文版SP5,IIS4.0,MS SQL Server7.0SP2运行通过)






相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 没有查询到任何记录。

最新文章 迅雷新手完全入门手册 asp下面javascript上传图片限制格式大小方法告诉大家网页弹出窗口应用总结ASP常见错误类型大全asp常见错误分析和解决办法

人气排行 总是弹出visual studio 实时调试器 三种解决SQLSERVER存储过程及调用详解Asp获取真实IP地址ASP中连接Mssql的几种方法一个简单好用的UBB编辑器(含代码)如何用Split将字符串转换为数组并获取数组下ASP防止表单重复提交的办法告诉你免费的简单聊天室源代码