日期:2014-05-18  浏览次数:20467 次

SQL注入
搞数据库的人都怕这个,有些还写了很严重的过滤函数,把SELECT|DELETE|UPDATE|()|'|--等等有可能被用于SQL语句的都过滤掉,这样既复杂还影响用户的正常查询,我想SQL命令基本都是这样的:
命令字+空格+参数
起空格作用的还可能有回车符、换行符、制表符,在ASCII中,这些的值都小于32,而具小于32的ASCII字符不可能是用户输入的查询,所以,我的想法是,把所有ASCII值小于或等于32的全去掉,再加个分号;,我想这个过滤应该比那些复杂的过滤函数来的简单吧。欢迎大家讨论。当然,我的所有检查都在解码之后,不考虑那些无聊的URL编码。 


------解决方案--------------------
有天则表达式不就可以了
------解决方案--------------------
貌似有现成的,网上找找呢
------解决方案--------------------
靠。我对SQL注入已经麻木了