Discussion :

[tsunamichups]

Bonjour,
J'aurais besoin de votre aide car je suis confronté a une demande et a un soucis.

Ayant des soucis d'injection sur un de mes site, je souhaiterais modifier les valeur de mon Request.Form avant de récupérer chacune de mes valeur pour les traiter en base ou en envois de mail.

Voici les étapes
1 -> envois des donnée POSTpar formulaire
2 -> je boucle sur mon Request.Form et modifie la valeur si je détecte un script (problème a cette étape)
3 -> je récupère mes valeur POST
4 -> je fait mon traitement

Voici le code de ma boucle

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
sub form_global_verrif()
		For Each Champ in Request.Form
			valeur = Request.Form(Champ)
			valeur = affichage_sans_injection(valeur)
			'Request.Form(valeur)
			Request.Form(Champ) = valeur
		Next
	end sub

Ma fonction affichage_sans_injection(valeur) retourne la chaine netoyée si on script est detecter. (elle est utiliser directement pour l'affichage des donnée de ma base et fonction correctement.

Le problème ce situe a cette étape

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
Request.Form(Champ) = valeur

Le message d'erreur retourné est le suivant

Erreur d'exécution Microsoft VBScript erreur '800a01b6'

Cet objet ne gère pas cette propriété ou cette méthode: 'Request.Form'

Je souhaiterais savoir s'il y a possibilité d'assigner des valeur au request.Form

Dans l'idée je doit avoir près de 200 pages qui possède un formulaire et une 50ène qui récupère et traite ces informations (Non envisageable de traiter chaque valeur une par une sur les 50 pages

Merci d'avance pour vos retours

[roro06]

Bonjour

Non,la collection Request.Form est en lecture uniquement

[tsunamichups]

Bonjour,
Je te remercie pour ta réponse c'est ce que je craignais ...
Je vais devoir me les farcir à la main a défaut d'autre chose

Merci pour ta réponse en tout cas

[kaiser59]

Salut,

Tu peux très bien utiliser une fonction (je n'aime pas les sub ^^) qui contrôle la valeur envoyer dans ton request, il faut cependant mettre un paramètre à celle-ci

Remplace toutes les valeurs susceptible d'etre du sql injection

Code asp :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
function sql_injection (strVal)
  if instr(strVal,"' ''") then replace(strVal,"' ''"," ")
  if instr(strVal,"' or 1=1 --") then replace(strVal,"' or 1=1 --"," ")
  ...
 end function

Code asp :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 'ta requete :
 Sql = "Select * From maTable where champ = '"& sql_injection(Request.form("test") &"'"