特殊的空格字符

特殊的空格字符 
Author:大风

在asp编程中，我们常常使用trim(rtrim ,ltrim)函数去掉一些数据的开头和结尾的空格，笔者最近写了一个asp聊天室， 
有下面的一段代码： 
<% dim name,title 
name=trim(request.form("name")) 
password=trim(request.form("password")) 
if name="" or password="'' then response.redirect "error.asp?error=name&name=null" 
myDSN="DSN=test;uid=test;pwd=test" 
set cn=server.createobject("adodb.connection") 
cn.open myDSN 
sql="insert into test(name,title) values('"&name&"','"&password&"')" 
cn.execute(sql) 
cn.close%> 
笔者使用了trim函数来去掉开头和结尾的空格，在一般的情况下，这段程序执行的很正常，但是后来笔者竟然发现有人竟 
然可以使用空格进来，意思就是说，该用户的name完全为空格，但是笔者尝试自己使用空格却无论都不能通过（即被程序 
监测了出来），开头和结尾的空格都被trim函数给去掉了，即使中间有空格，笔者需要的话也可以使用一个函数把中间的 
空格给去掉，由于笔者使用的是sql数据库记录下的用户资料，于是笔者怀疑他使用了其它什么的东西让系统看不到，于是 
去察看纪录用户资料的sql数据库（笔者曾经使用这种方法看到了带换行符的用户），但是笔者仍然看到数据库中的改用户 
的资料也是空格，这难道说该用户使用了一种手段可以绕过我的用户名和密码监测吗？？？实在找不到程序上的漏洞，于 
是只能向这位用户请教，幸运的是这位用户爽快的告诉了笔者，原来是"Alt+255",按住alt键然后依次按下小键盘 
中"2"，"5"，"5"就会产生一个比较特殊的东西"空格"字符（这个概念笔者也不是比较清楚，这是一种控制字符，在一些编 
辑器中可以看到word2000，应该还有其他的控制字符），这个空格字符不同于传统的按下空格键产生的字符，它的asc代码 
是255，而传统的space键入的空格的asc代码是32，trim函数只能认识asc代码为32的代码并去除，所以出现了出现空格用 
户的情况！针对这种情况笔者设计了下面的两种函数去掉这个"空格"字符， 
function xuankong(str) 
dim result 
dim j 
j=len(str) 
result="" 
dim i 
for i = 1 to j 
select case mid(str,i,1) 
case "<" 
result=result+"&lt;" 
case ">" 
result=result+"&gt;" 
case chr(34) 
result=result+"&quot;" 
case "&" 
result=result+"&amp;" '以上代码转换一些html标记

case chr(255) '防止特殊空格 
result=result 
case chr(13) '防止回车符 
result=result+"<br>" 
case chr(10) '防止换行符 
result=result+"<br>" 
case else 
result=result+mid(str,i,1) 
end select 
next 
xuankong=result 
end function 
然后在你的asp程序中使用这个函数,比如： 
name=xuankong(trim(request.form("name")))

因为字符0-z asc代码的数值为 48-122 这一个区段 ，所以可以使用如下的方法监测：

dim j 
j=len(trim(request.form("name"))) 
for i= 1 to j 
if asc(mid(name,i,1))>122 or asc(mid(name,i,1))<48 then response..redirect"error.asp? 
error=special" 
next， 
虽然这种“空格”暂时没有发现会破坏程序的问题，但是却是可以让人捣乱的，还是防了的好,不过这种空格也有一种好 
处，如果作为你得上网密码的话，嘿嘿… …恐怕没有几个人能看到吧！看到的都是以为是space，但是却不是… … 笔 
者不熟悉php和jsp所以不知道在这两种东西中是否会存在这种问题。