asp 提交数据要不要做过滤特殊字符
当前位置:点晴教程→知识管理交流
→『 技术文档交流 』
asp 提交数据要不要做过滤特殊字符,如果要的话,有什么好的办法吗?
给你个简单的过滤函数function replacebadword(word)
dim badword,badarray badword="$,%,^,&,(,),',"&chr(34)&",|,<,>,;,~" badarray=split(badword,",") for i=0 to ubound(badarray) word=replace(word,badarray(i),"") next replacebadword=word end function 为什么要过滤这些特殊字符呢?
肯定要啦,不然sql注入漏洞会让你崩溃的
看情况而定。比如有的地方不想让用户提交html就把 <>过滤掉。
防注入还是要靠参数化,字符过滤没什么意思。 sql注入确实让人很头痛,弄个软件,24小时的在那里攻击,一旦成功,什么东西都让改得乱七八糟。
这个地方是很大的漏洞, 即使不强力过滤,也至少要进行数字或字符校验. 该文章在 2010/7/29 0:17:04 编辑过 |
关键字查询
相关文章
正在查询... 
|
400 186 1886
