在一个网站上的多个Adsense广告 - 避免SQL注入

Question

我正在网站上的成员可以发布自己的Adsense横幅到网站上。最初我想用Adsense API与用户分享收入。 （他们只需输入他们的Adsense发布者ID），但我发现我不符合使用API​​的要求。

我的选择是允许用户提交他们的整个AdSense广告单元代码，这将是什么样子，

<script type="text/javascript"><!-- 
google_ad_client = "pub-xxxxxxxx"; 
/* 300x250, created 10/4/10 */ 
google_ad_slot = "7431428552"; 
google_ad_width = 300; 
google_ad_height = 250; 
//--> 
</script> 
<script type="text/javascript" 
src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> 
</script> 

有过滤所有以确保用户不会提交有害代码的安全方法？

Answer 1

AdSense客户端ID是一个数字。所以请确保它是一个使用ctype_digit的数字。注意：如果字符串为空，ctype_digit()返回true。必要时使用额外的==比较。

这应该在把它放入数据库之前完成。由于它是一个数字，并且不能是负数，所以我建议您使用BIGINT UNSIGNED作为数据类型作为您的列表。 INT无法使用，因为ID很长。作为替代，您可以使用VARCHAR。