Wyrażenie regularne + JakiśSQL + wyszukiwarka = błąd (zagadka)

0

Witam,

Mam do rozwiązania zagadkę, mianowicie jest stronka z formularzem do wpisywania jakiś tekstów i wyszukiwarka, która wyświetla w ilu wpisach jest dany tekst. Nie ma żadnego błędu typu SQL Injection, a okienko do wyszukiwania bazuje na wyrażeniach regularnych; można wpisać np. [a-z] i wyświetla mi się ogromną ilość wyników - tzn tylko liczba wyników :] . Zaobserwowałem, że jak wpisze się znak < a po nim tylko dowolną literę to wywala błąd(Runtime Error - strona aspx) np. <m a dla <' lub <" lub <4 wszystko działa poprawnie. Nie wiem czy tutaj wyrażenia regularne są wykorzystane w języku sql, czy w stronie aspx. Ciekawość mnie już zżera co powoduje ten błąd, czy jest zrobiony specjalnie, czy jakaś funkcja do wyrażeń regularnych się psuje przy tej kombinacji "zapytania"?

0

Po dalszych analizach, zaobserwowałem, że wystąpienie błędu raczej nie jest związane z wyrażeniami regularnymi, ani z bazą danych. Błąd pojawia się wszędzie, gdzie poprzez jakikolwiek argument podaje "<X" (cookies'y, get, post) a także jak odwołam się do nieistniejącego pliku http://page.com/somewhere/<X

Runtime Error
Description: An application error occurred on the server. The current custom error settings for this application prevent the details of the application error from being viewed remotely (for security reasons). It could, however, be viewed by browsers running on the local server machine.

Details: To enable the details of this specific error message to be viewable on remote machines, please create a <customErrors> tag within a "web.config" configuration file located in the root directory of the current web application. This <customErrors> tag should then have its "mode" attribute set to "Off".

Normalnie jak plik nie istnieje np. http://page.com/somewhere/doesntexist - wywala błąd 404.
Oczywiście linki są przykładowe ;)
Co powoduje ten błąd?

0

  1. Skąpisz szczegółów - to nie ułatwia rozwiązania.

  2. Widzisz ten Runtime Error? Przeczytaj go sobie. Albo nawet pokażę Ci istotny fragment: The current custom error settings for this application prevent the details of the application error from being viewed remotely (for security reasons). Tak, bingo, to oznacza, że serwer wie coś więcej nt. przyczyn błędu i pewnie się z Tobą tą informacją podzieli i będzie wiedział więcej niż my, nie znając absolutnie żadnego szczegółu oprócz tego, że odpalasz aspxy na tym serwerze.

0

Zabawa polega na tym, że nie mam dostępu do serwera. Tylko mogę mieć nadzieję, że jest to popularny błąd.

0

Przeleciałem parę serwerów na IIS i żaden się tak nie zachowuje, więc chyba nie. Pisz do administracji serwera zatem, to zapewne jakieś magiczne zabezpieczenie myślące zamiast użytkownika. Spotkałem się z hostingiem zwracającym error 500 kiedy w POST/GET był ciąg "http://" :/

Edit: No a nawet jakby to był jakiś znany błąd w konfiguracji to i tak nie masz dostępu do serwera :P

1 użytkowników online, w tym zalogowanych: 0, gości: 1