$this->dsql->ExecuteNoneQuery("UPDATE`xiuzhanwang_vote`SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".addslashes($items)."' WHERE aid='".$this->VoteID."'"); |
$this->dsql->ExecuteNoneQuery("UPDATE`xiuzhanwang_vote`SET totalcount='".($this->VoteInfos['totalcount']+1)."',votenote='".mysql_real_escape_string($items)."' WHERE aid='".mysql_real_escape_string($this->VoteID)."'"); |
其實(shí)也就是addslashes()改為mysql_real_escape_string()對(duì)模塊投票提交過來的數(shù)據(jù)進(jìn)行轉(zhuǎn)義后再向數(shù)據(jù)庫提交,這樣轉(zhuǎn)義之后就會(huì)把例如逗號(hào),雙引號(hào)全部轉(zhuǎn)義成單斜杠了。這樣就可以有效的防范投票的時(shí)候被SQL注入的風(fēng)險(xiǎn)了。
版權(quán)聲明: 本站資源均來自互聯(lián)網(wǎng)或會(huì)員發(fā)布,如果侵犯了您的權(quán)益請(qǐng)與我們聯(lián)系,我們將在24小時(shí)內(nèi)刪除!謝謝!
轉(zhuǎn)載請(qǐng)注明: 織夢(mèng)DEDECMS防范投票模塊SQL注入垃圾信息