网站大量收购独家精品文档,联系QQ:2885784924

Ewebeditor及fckeditork单引号的题目.doc

  1. 1、本文档共3页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Ewebeditor及fckeditork单引号的题目

Ewebeditor及fckeditork,90%的网站都是采用这两种编辑器作为产品或者内容的说明部分的编辑窗口,近日,一客户的外贸站点基本上快完工了,因客户产品分类多,故而让客户自己在后台添加产品,但是客户反映,在后台添加产品时,如果产品说明内容太过复杂的话,产品怎么也添加不入数据库中。 当时,我们也好生郁闷,这到底怎么回事,我们亲自测试后台添加任意的产品或者文字都能成功,偏偏他就不行,在网站有哪些信誉好的足球投注网站了相关的如“Ewebeditor 不能添加到数据库”,似乎找到了一点答案,因Ewebeditor自身没对单引号过滤,导致了添加不到数据库的问题。于是乎,我们把编辑器换成了fckeditork,可是还是不行,那是Ewebeditor及fckeditork自带的不完善导致的吗?为什么一个简单的单引号会引发不能添加到数据库呢,想到这里,我们想到了分析下入库代码,我们采用的是SQL=insert into product(title,content) values( request(title) , request(content) )的写法,于是我们找到客户当时COPY进编辑器里的内容,发现,果然这内容中包括有单引号,原来,正是由于客户提交到编辑器里的内容中含有单引号,导致我们的SQL语句变化了,相当于原来是SQL=insert into product(title,content) values(内容 ,内容 )变成了SQL=insert into product(title,content) values( 内容 , 内容 ),我们细看就知道,就因为这content里多了个单引号,SQL语句发生的严重的写法错误,但是,我们也奇怪,既然他写法错误,为什么SQL语句不给出错误提示呢,竟然也会提示操作成功,想到这里,我们想到了2003年那几年,普遍的小黑客喜欢用的 or = or 的后台入侵法,是乎正是利用了SQL执行时,没过滤单引号的BUG,导致SQL怎么执行,结果都返回真,呵呵,没想到,原以为写程序尽量图个简单明了,也是个错啊。好了,问题找到了,以后,凡是SQL入库前,我们都把字段过滤后再传值,就不会再出这样的问题了,下面是一个非常完善的SQL安全过滤函数,大家直接拿去就可以调用了。 Function HTMLEncode(Str) ?If Isnull(Str) Then ???? HTMLEncode = ???? Exit Function ?End If ?Str = Replace(Str,Chr(0),, 1, -1, 1) ?Str = Replace(Str, , quot;, 1, -1, 1) ?Str = Replace(Str,,lt;, 1, -1, 1) ?Str = Replace(Str,,gt;, 1, -1, 1) ?Str = Replace(Str, script, #115;cript, 1, -1, 0) ?Str = Replace(Str, SCRIPT, #083;CRIPT, 1, -1, 0) ?Str = Replace(Str, Script, #083;cript, 1, -1, 0) ?Str = Replace(Str, script, #083;cript, 1, -1, 1) ?Str = Replace(Str, object, #111;bject, 1, -1, 0) ?Str = Replace(Str, OBJECT, #079;BJECT, 1, -1, 0) ?Str = Replace(Str, Object, #079;bject, 1, -1, 0) ?Str = Replace(Str, object, #079;bject, 1, -1, 1) ?Str = Replace(Str, applet, #097;pplet, 1, -1, 0) ?Str = Replace(Str, APPLET, #065;PPLET, 1, -1, 0) ?Str = Replace(Str, Applet, #065;pplet, 1, -1, 0) ?Str = Replace(Str, applet, #065;pplet, 1, -1, 1) ?Str = Replace(Str, [, #091;) ?Str = Replace(Str, ], #093;) ?Str = Replace(Str, , , 1, -1, 1) ?Str = Replace(Str, =, #061;, 1, -1, 1) ?Str = Replace(Str, , , 1, -1, 1) ?Str = Replace(Str, select, sel#

文档评论(0)

jgx3536 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:6111134150000003

1亿VIP精品文档

相关文档