[ASP] Probleem met het parsen van variabelen?

Door Maarten op 08-12-2009 22:42

909 views

Ik ben bezig met ASP, maar krijg mn variabelen niet goed geparsed denk ik. Momenteel heb ik dit:

<%
Dim ObjShell
nr = Request.QueryString("nr")

txt = Request.QueryString("txt")

Set objShell = Server.CreateObject("WScript.Shell")

objShell.Run "cmd.exe /C echo TXT | cd c:\map & program.exe --config test.ini --cmd1 NR", 1, TRUE

Set objShell = Nothing

%>

TXT en NR zijn dus variabelen die ik op deze manier wil verkrijgen: test.asp?nr=000000&txt=test+bericht

Helaas krijg ik geen errors terug van ASP. Dus ik dacht dat het wel zou werken, niet dus :(. Iemand enig idee wat er fout gaat?

Hipska BE

08-12-2009 22:47

Ik zou wel opletten hiermee.. elke gebruiker kan die vars in de url aanpassen tot gevaarlijke code in de commandline. (Injection)

Wat als txt plots "piep" | format c:\ zou bevatten? (is maar voorbeeldje die gelukkig niet werkt, maar ergere dingen zouden wel kunnen)

Maarten

08-12-2009 22:49

Hoe is dat dan te voorkomen? Het moet namelijk via de URL doorgegeven worden ivm een programma dat de pagina op vraagt.

Hipska BE

08-12-2009 22:51

Net zoals je iets dergelijks in php gaat voorkomen..

Je doet toch ook nooit eval($_GET['tekst']); hoop ik?

Maarten

08-12-2009 22:52

Hmm okee. Dat wordt even Googlen denk ik ;) . Eerst het maar even werkend krijgen. Iemand enig idee hoe?

Reageren

Inloggen om te reageren