4个回答
展开全部
防灌水:
对无意义帖判定,比如:字数太少,纯数字,无意义的连续数字或字母。
发帖时间间隔和发帖量
系统设置一批关键词匹配,发现有类似的先设为需审核 ,由后台手动操作。
防sql注入
先对提交数据中的危险字符过滤或编码。比如:名称或帖子标题,一定不能是html,直接进行htmlencode ,最后输出到页面上,也不会变成html,而是显示原始字符。对需要使用html的内容部分,过滤script,style等标签,或者直接用strip_tags 函数只保留必要的段落等排版标签。
其次也可以考虑使用bbcode或markdown等对排版有限制的语法转义
数据库操作使用pdo参数编译的模式,可以有效防止提交数据中的注入字符(会变成正常字符插入到数据库中,这也可以防止误判,因为很多IT类的技术帖需要在内容中有这些关键字)
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
防灌水加重复验证,请求频次验证,留言字符长度限制
防 SQL 注入,对所有输入加转义
<?php
function post_check($post)
{
if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开
{
$post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
}
$post = str_replace("_", "\_", $post); // 把 '_'过滤掉
$post = str_replace("%", "\%", $post); // 把' % '过滤掉
$post = nl2br($post); // 回车转换
$post= htmlspecialchars($post); // html标记转换
return $post;
}
?>
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
主要是转义里面的值,mysql_real_escape_string
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
防灌水这个要看你怎么理解灌水这个定义了,sql注入的话其实来回也是那几种方法特殊字符的转义,相关安全函数的开启什么的
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(2)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
