回复 34F 浏阳河数据 的帖子
我测试了这段,似乎少了过滤declare ,在get的过滤字符串里加上declare更安全
'get
Fy_In_get = "[email=]'|*|%|@|and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare|declare[/email]"
另外post过滤时,把select过滤掉,因为我的程序里需要用到action=select这样的,结果导致了所有的提交都失效了,但是又怕在post里不过滤select会不安全。。。矛盾。。。。。。开始没有发现原因,导致暂时删除这段防注入代码,结果一删除立刻就又被注入了。
今天有加上了,明天再看看这段代码是否真的防住这次的攻击。