يقوم محرر Ewebeditor وfckeditork بتصفية الاقتباسات الفردية

يقوم محرر Ewebeditor وfckeditork بتصفية الاقتباسات الفردية

استخدمنا طريقة الكتابة SQL=insert into Product(title,content) value(' &request(title)& ' ,' &request(content)& ' )، لذلك وجدنا المحتوى الذي نسخه العميل إلى المحرر في ذلك الوقت ، ووجدت أنه من المؤكد أن هذا المحتوى يحتوي على علامات اقتباس مفردة، وتبين أن المحتوى الذي أرسله العميل إلى المحرر يحتوي على علامات اقتباس مفردة تم تغيير عبارة SQL الخاصة بنا، وهو ما يعادل SQL=insert into Product(. العنوان والمحتوى) القيم ("المحتوى"). ، 'content') يصبح SQL=insert into Product(title,content) value('content','content''). إذا نظرنا عن كثب، فسنعرف أنه لمجرد وجود علامة اقتباس مفردة إضافية في المحتوى، يحدث خطأ خطير في الكتابة، ومع ذلك، فإننا نتفاجأ أيضًا أنه نظرًا لأنه تم كتابته بشكل غير صحيح، فلماذا لا تعطي عبارة SQL رسالة خطأ، ولكنها تطالب أيضًا بأن العملية ناجحة؟ فكر في المتسللين الصغار الشائعين في عام 2003. مثل استخدام 'or' =' or' يبدو أن طريقة التطفل في الخلفية تستفيد من الخطأ المتمثل في عدم تصفية علامات الاقتباس المفردة عند تنفيذ SQL. ونتيجة لذلك، بغض النظر عن كيفية تنفيذ SQL، فإن النتيجة تعود صحيحًا يجب أن تكون كتابة البرنامج بسيطة وواضحة قدر الإمكان، وهذا أيضًا خطأ. حسنًا، تم العثور على المشكلة في المستقبل، قبل إدخال كل SQL في قاعدة البيانات، سنقوم بتصفية الحقول قبل تمرير القيمة، حتى لا تحدث هذه المشكلة بعد الآن، فيما يلي وظيفة تصفية أمان SQL كاملة جدًا. يمكنك فقط استخدامه وهو جاهز للاتصال به.

الدالة HTMLEncode(Str)

إذا Isnull(Str) ثم

HTMLEncode =

وظيفة الخروج

نهاية إذا

Str = استبدال (Str،Chr(0)،، 1، -1، 1)

Str = استبدال (Str،، "، 1، -1، 1)

سلسلة = استبدال (سلسلة،<،&lt;، 1، -1، 1)

Str = Replace(Str,>,&gt;, 1, -1, 1)

Str = Replace(Str, script, &#115;cript, 1, -1, 0)

Str = Replace(Str, SCRIPT, &#083;CRIPT, 1, -1, 0)

Str = Replace(Str, Script, &#083;cript, 1, -1, 0)

Str = Replace(Str, script, &#083;cript, 1, -1, 1)

سلسلة = استبدال (سلسلة، كائن، كائن، 1، -1، 0)

Str = Replace(Str, OBJECT, &#079;BJECT, 1, -1, 0)

Str = Replace(Str, Object, &#079;object, 1, -1, 0)

Str = استبدال (Str، object، object، 1، -1، 1)

Str = Replace(Str, applet, &#097;pplet, 1, -1, 0)

Str = Replace(Str, APPLET, &#065;PPLET, 1, -1, 0)

Str = Replace(Str, Applet, &#065;pplet, 1, -1, 0)

Str = Replace(Str, applet, &#065;pplet, 1, -1, 1)

سلسلة = استبدال (سلسلة، [، &#091؛)

Str = استبدال (Str، ]، &#093؛)

Str = استبدال (Str،،، 1، -1، 1)

Str = Replace(Str, =, &#061;, 1, -1, 1)

Str = استبدال (Str، '، ''، 1، -1، 1)

سلسلة = استبدال (سلسلة، حدد، حدد، 1، -1، 1)

Str = Replace(Str, تنفيذ, &#101xecute, 1, -1, 1)

Str = Replace(Str, exec, &#101xec, 1, -1, 1)

Str = Replace(Str, join, jo&#105;n, 1, -1, 1)

Str = Replace(Str, union, un&#105;on, 1, -1, 1)

Str = استبدال (Str، أين، أين، 1، -1، 1)

Str = Replace(Str, Insert, ins&#101;rt, 1, -1, 1)

سلسلة = استبدال (سلسلة، حذف، ديلت، 1، -1، 1)

Str = Replace(Str, update, up&#100;ate, 1, -1, 1)

Str = Replace(Str, like, like&#101;, 1, -1, 1)

Str = Replace(Str, drop, dro&#112;, 1, -1, 1)

Str = Replace(Str, create, cr&#101;ate, 1, -1, 1)

Str = Replace(Str, rename, rename, 1, -1, 1)

Str = Replace(Str, count, co&#117;nt, 1, -1, 1)

Str = Replace(Str, chr, c&#104;r, 1, -1, 1)

Str = Replace(Str, mid, m&#105;d, 1, -1, 1)

Str = Replace(Str, truncate, trunc'te, 1, -1, 1)

Str = استبدال (Str، nchar، nch'r، 1، -1، 1)

Str = استبدال (Str، char، ch'r، 1، -1، 1)

Str = Replace(Str, alt, alt&#101;r, 1, -1, 1)

Str = Replace(Str, cast, ca't, 1, -1, 1)

Str = Replace(Str, موجود, e&#120;ists, 1, -1, 1)

Str = Replace(Str,Chr(13), , 1, -1, 1)

HTMLEncode = استبدال (Str،'،''، 1، -1، 1)

وظيفة النهاية