給你個(gè)簡(jiǎn)單的過濾函數(shù)
function replacebadword(word)
dim badword,badarray
badword="$,%,^,&,(,),',"&chr(34)&",|,<,>,;,~"
badarray=split(badword,",")
for i=0 to ubound(badarray)
word=replace(word,badarray(i),"")
next
replacebadword=word
end function
為什么要過濾這些特殊字符呢�?
肯定要啦,不然sql注入漏洞會(huì)讓你崩潰的
看情況而定��。比如有的地方不想讓用戶提交html就把 <>過濾掉����。
防注入還是要靠參數(shù)化,字符過濾沒什么意思��。
sql注入確實(shí)讓人很頭痛��,弄個(gè)軟件���,24小時(shí)的在那里攻擊�,一旦成功,什么東西都讓改得亂七八糟��。
這個(gè)地方是很大的漏洞,
即使不強(qiáng)力過濾,也至少要進(jìn)行數(shù)字或字符校驗(yàn).
400 186 1886
