如果把数字字母下划线以外的字符串都过滤掉还会有注入问题吗？

2017-12-21 11:17:13 +08:00

bestkayle

2148 次点击

所在节点

8 条回复

liuyes

2017-12-21 11:26:20 +08:00

安全 100

bestkayle

2017-12-21 11:29:18 +08:00

@liuyes #1

or2me

2017-12-21 11:33:39 +08:00

防注入不要想着黑白名单就好好的参数化查询坚决不用拼接

AAAAAAAAAAAAAAAA

2017-12-21 11:36:30 +08:00

应该写白名单，黑名单很容易漏掉，下划线也不给用，无敌安全

gamexg

2017-12-21 12:34:26 +08:00

安全是安全了，但是会不会被用户 ma ？
就类似以前的论坛替换单引号替换空格，从里面拷出来的代码全挂。

dobelee

2017-12-21 12:44:13 +08:00

如果是富文本过滤了符号还怎么玩。

airbasic

2017-12-21 14:16:43 +08:00

恭喜你

fcten

2017-12-21 15:10:25 +08:00

拒绝一切用户输入，彻底解决注入问题

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.