UID321233
帖子
精華
主題
積分12028
現金
積極性
威望
違規
熱心
推廣次數
閱讀權限30
註冊時間2013-5-28
在線時間 小時
最後登錄1970-1-1
TA的每日心情 | 擦汗 2015-10-1 03:50 PM |
---|
簽到天數: 416 天 連續簽到: 1 天 [LV.9]以壇為家II
|
本帖最後由 Karas鴉 於 2013-9-23 05:45 PM 編輯
往下看之前,可以先參考此篇。
用法:SQLInputCheck("字串")
說明:過濾輸入到SQL內的敏感詞,並跳脫字符。
測試環境:rA / SeAr- function script SQLInputCheck {
- .@str$ = getarg(0);
- setarray .@Char$[0],";","'","#","*","/","-","+","(",")","%",
- "=",":","&","|","^",">","<","!","~","$","`";
- for(.@i=0;.@i<getarraysize(.@Char$);.@i++){
- .@str$ = replacestr(.@str$,.@Char$[.@i],"\"+.@Char$[.@i],0);
- }
- return escape_sql(.@str$);
- }
複製代碼 主要整理了一些SQL常用的運算符,
不過其實可以不用寫這麼多...
主要的敏感詞替換掉其實就差不多了...
而escape_sql,也是SQL過濾輸入的函數,
他可以跳脫一些特殊字符,讓SQL的執行上更安全一些,
使用方法:escape_sql("字串")
因為不確定 escape_sql 能夠防範到怎樣的程度,
所以,自己才再額外寫一個函數進行過濾。 |
|