帮忙看看这个防SQL注入正则表达式的意思! 本帖最后由 sundm3615 于 2010-08-06 11:41:34 编辑 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 主要匹配单引号,分号,#号,及括号、\s代表空格,\b 查找位于单词的开头或结尾的匹配后面的都是sql关键字 | 是或者的意思,相当于 js 语法的 || 与运算 给你再补充几个 ."xp_cmdshell","exec master","net localgroup administrators" 注入不是靠正则就可以挡住的只要写的够复杂, 就有可能绕过这种判断。更关键的是正则的误伤太严重了。你比如我回帖:Hi, boy, please select your choice! then I will update them and create a new account for you.你说这一下子装上了多少个关键字? 应该是这样:exec master..xp_cmdshell 是 sql 为对外开放的一个命令。net localgroup 也是一个命令。可以差一些资料看看http://chinapyjjq.blog.163.com/blog/static/51499597200952710223623/ 最好 用存储过程或者 参数化SQL写数据库操作 一个JS问题,有兴趣的哥们可以一起讨论下 如何学js,感觉js比java还难些 关于点击横向菜单背景图片切换 请问$.each怎么应用到我的例子中去? 鼠标拖拽DIV移动问题 请问 如何实现 网页加载完成后 立即显示 ext win ?? 一个模拟树型小程序,关于this有点疑问? 怎样使本页的所有链接都加上?dns=1 如何用javascrip写一个下了列表框的选择函数,急用,在线等。 关于下载TXT文件 定时发送功能无法获取时间!! jquery each的问题
后面的都是sql关键字 | 是或者的意思,相当于 js 语法的 || 与运算
只要写的够复杂, 就有可能绕过这种判断。更关键的是正则的误伤太严重了。
你比如我回帖:Hi, boy, please select your choice! then I will update them and create a new account for you.你说这一下子装上了多少个关键字?
exec master..xp_cmdshell 是 sql 为对外开放的一个命令。
net localgroup 也是一个命令。
可以差一些资料看看
http://chinapyjjq.blog.163.com/blog/static/51499597200952710223623/