前段時間新做的一種校驗數據的方式,隨機生成的一個多選表單項來校驗數據。本以爲這樣可以防止垃圾信息進入數據庫,可不巧的是這種方式也不能防止垃圾信息! 偶對軟件的瞭解太少了,猜了多種方法來阻止垃圾信息,但都一次次失敗了。
說明:
隨機碼生成頁面爲R,表單頁面爲A,數據寫入頁面爲B
一開始我懷疑是不是跳過A直接進入B將數據寫入到庫中,於是就把A給改了地址,結果垃圾信息停止了,說明這些信息是必須走A的!
難道是僞造COOKIES(偶還不瞭解是如何僞造的),我又在B頁面將A頁面中的校驗碼項與提交數據時的SESSION寫到入到一個文本文件中,結果並沒有獲取取得任何值,那就是說垃圾軟件在提交的時候並沒有添寫A頁面中的校驗碼同時也屏蔽了JS(因爲我的表單項是使用JS和ASP做的校驗),這樣一來自然就過了JS的這一步數據校驗。唉,對了JS一屏蔽再加上不開COOKIES那自然就通過了校驗碼這一步,可是又是如何過了R頁面隨機碼的校驗呢?如果沒有正確的隨機碼與SESSION中的隨機碼校驗是不能訪問A、B頁面的!這一步又讓我不解!
那現在先做一下JS的調整,將發佈頁面的Submit表單項給去掉,換成JS的函數,這樣一來屏蔽JS應該是發不了信息的!
好像有點效果!~~~
一邊寫一邊想,剛剛又發現在程序端我只做A頁面校驗碼與B頁面SESSION的比較,並沒有對他們值是不是爲空做校驗算是一個BUG,這樣只要兩個值都爲空自然就過了此項!