asp 提交數據要不要做過濾特殊字符
當前位置:點晴教程→知識管理交流
→『 技術文檔交流 』
asp 提交數據要不要做過濾特殊字符,如果要的話,有什么好的辦法嗎?
給你個簡單的過濾函數function replacebadword(word)
dim badword,badarray badword="$,%,^,&,(,),',"&chr(34)&",|,<,>,;,~" badarray=split(badword,",") for i=0 to ubound(badarray) word=replace(word,badarray(i),"") next replacebadword=word end function 為什么要過濾這些特殊字符呢?
肯定要啦,不然sql注入漏洞會讓你崩潰的
看情況而定。比如有的地方不想讓用戶提交html就把 <>過濾掉。
防注入還是要靠參數化,字符過濾沒什么意思。 sql注入確實讓人很頭痛,弄個軟件,24小時的在那里攻擊,一旦成功,什么東西都讓改得亂七八糟。
這個地方是很大的漏洞, 即使不強力過濾,也至少要進行數字或字符校驗. 該文章在 2010/7/29 0:17:04 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
