ASP e Formulários, como se proteger ?, por Edson Junior

Avaliação:

| Publicado em: 26/06/2007

ASP e Formulários, como se proteger ?

Edson Junior Desenvolver WEB desde 2000, atualmente trabalhando em uma consultoria de grande porte.

ASP e Formulários, como se proteger ?

ASP e Formulários, como se proteger ?

Uma forma bem fácil de evitar que scripts maliciosos utilizem seus formulários para envio de SPAM é criar uma imagem de forma dinâmica com caracteres que serão validados antes do formulário enviar o e-mail.

Obs1: Primeiramente seu provedor deverá ter suporte ao componente ASPJPEG.

Vamos criar um arquivo ASP chamado img.asp ondeo mesmo irá apenas para validar os caracteres. Veja o código abaixo:

<%
'Função para gerar as letras
Function Gerar_letras(quantidade)

'Declaramos o Array que armazenará o total de caractéres utilizados, letras, números, sinais, etc.
'No nosso caso, 61 sendo, 26 letras maiúsculas, 26 minúsculas e 10 números (0 - 9)
Dim Senha(61)

'Declaramos os arrays usados e seus valores
Senha(0) = "a"
Senha(1) = "b"
Senha(2) = "c"
Senha(3) = "d"
Senha(4) = "e"
Senha(5) = "f"
Senha(6) = "g"
Senha(7) = "h"
Senha(8) = "i"
Senha(9) = "j"
Senha(10) = "k"
Senha(11) = "l"
Senha(12) = "m"
Senha(13) = "n"
Senha(14) = "o"
Senha(15) = "p"
Senha(16) = "q"
Senha(17) = "r"
Senha(18) = "s"
Senha(19) = "t"
Senha(20) = "u"
Senha(21) = "v"
Senha(22) = "w"
Senha(23) = "x"
Senha(24) = "y"
Senha(25) = "z"
Senha(26) = "0"
Senha(27) = "1"
Senha(28) = "2"
Senha(29) = "3"
Senha(30) = "4"
Senha(31) = "5"
Senha(32) = "6"
Senha(33) = "7"
Senha(34) = "8"
Senha(35) = "9"
Senha(36) = "A"
Senha(37) = "B"
Senha(38) = "C"
Senha(39) = "D"
Senha(40) = "E"
Senha(41) = "F"
Senha(42) = "G"
Senha(43) = "H"
Senha(44) = "I"
Senha(45) = "J"
Senha(46) = "K"
Senha(47) = "L"
Senha(48) = "M"
Senha(49) = "N"
Senha(50) = "O"
Senha(51) = "P"
Senha(52) = "Q"
Senha(53) = "R"
Senha(54) = "S"
Senha(55) = "T"
Senha(56) = "U"
Senha(57) = "V"
Senha(58) = "W"
Senha(59) = "X"
Senha(60) = "Y"
Senha(61) = "Z"

Randomize

'Contamos a quantidade de letras geradas
do while len(chave) < quantidade
num = Senha(Int(61 * Rnd ))
chave = chave + num
loop
Gerar_letras = chave
end function

'Aqui chamamos a função e armazenamos o resultado da mesma em uma sessão.
'Troque o 6 pela quantidade de caracteres que deseja sortear.
Session("Senha") = Gerar_letras(6)

'Cria o objeto Jpeg
Set Jpeg = Server.CreateObject("Persits.Jpeg")

'Imagem usada como fundo no caso mandei um JPG qualquer com o nome de imagem
Path = Server.MapPath("imagem.jpg")

'Abre a imagem existente
Jpeg.Open Path

'Salva a imagem. Aqui foi usada a pasta teste, que obrigatoriamente deve ter permissão de escrita.

'Altere-a pela pasta onde será salva a imagem.
'### LEMBRE-SE A PASTA DEVERÁ TER PERMISSÃO DE ESCRITA ###
Jpeg.Save Server.MapPath("imagem2.jpg")

'Define altura e largura da imagem.
Jpeg.Width = 200
Jpeg.Height = 40

'Define cor, fonte, tamanho e tipo de qualidade do texto
Jpeg.Canvas.Font.Color = &H800000
Jpeg.Canvas.Font.Family = "Verdana"
Jpeg.Canvas.Font.Size = "36"
Jpeg.Canvas.Font.Bold = True
Jpeg.Canvas.Font.Quality = 4

'Desenha as bordas da imagem.
Jpeg.Canvas.Pen.Color = &H800000
Jpeg.Canvas.Pen.Width = 1
Jpeg.Canvas.Brush.Solid = False
Jpeg.Canvas.DrawBar 1, 1, Jpeg.Width, Jpeg.Height
Jpeg.Canvas.PrintText 30, 0, "" & Session("Senha") & ""

'Envia a imagem para o navegador.
Jpeg.SendBinary
'Remove a instância do objeto da memória
Set Jpeg = Nothing
%>

OBS2: O script acima irá gerar uma imagem (binários), portanto não pode conter código HTML junto.

Agora vamos ver como fica o formulário que vai exibir a imagem gerada no script anterior e autenticar os caracteres, vamos chamálo de form.asp

<%
' Verifica se o valor digitado no campo do formulário é o mesmo que gerou a imagem no script img.asp
If Request.Form("txt_key") = Session("Senha") Then
Response.Write "Formulário confirmado!"
Else
Response.Write "Preencha o campo com os caracteres da imagem!"
End If
%>
<form name="form1" method="post" action="">
<input name="txt_key" type="text" id="txt_key" size="10">
<input type="submit" name="Submit" value="Enviar"><br />
<img src="img.asp">
</form>

Vejam o formulário em funcionamento clicando aqui. Espero que tenham gostado, fiquem Plugados que em breve aparecerão novos artigos. Até lá =)

Flavio Raffaelli <flavio@raffaelli.com.br>

Excelente a matéria,

Assunto muito importante hoje em dia. Gostaria apenas de tirar uma dúvida: Como faço para adaptar para enviar por email num caso de form para contato?

Abs
Flavio

Edson <edson@edsonamaral.com.br>

Bom dia Flavio, tudo bem ?

Então, esse artigo trabalha com Session, para que você utilize-o em um formulário de contato basta criar seu formulário normalmente e deixar um campo para "trazer" a imagem gerada.

No arquivo usado no ACTION do FORM você fará a comparação da Session com o código digitado. Ou seja, se os dados estiverem OK a mensagem será enviada. Qq coisa, comente aqui ou mande-me um e-mail. Abraços.

Edson AJ <edson@edsonamaral.com.br>

Luiz Claudio Pimenta Ramo <lpimenta@senado.gov.br>

Excelente artigo, parabens, realmente nós encontramos tudo na web, basta procurar, tenho 32 anos na área e ainda me surpreendo, é de pessoas assim que o Brasil precisa.
Parabens.

Luiz Claudio Pimenta Ramo <lpimenta@senado.gov.br>

No servidor do meu trabalho não existe este componente, existe um freeware para instalar?

Obrigado.

Walter Dinei <contato@waltdisney.com>

Muito bom esse tutorial, inclusive eu já vi ele antes na FAQ da LocaWeb e já havia utilizado.
Segue o link:

http://site.locaweb.com.br/suporte/faq/faq.asp?faq=1696&CodigoCategoria=4041

Edson <edson@edsonamaral.com.br>

Exatamente Walter, o código que consta na FAQ da LocaWeb foi desenvolvido por mim pois até 1 mês atrás eu trabalhava na Loca.

Cayo Medeiros <yogodoshi@terra.com.br>

O link para o exemplo online do formulário está quebrado.