function clean($value) {
if(function_exists("mysql_real_escape_string")) {
if(get_magic_quotes_gpc()) { $value = stripslashes($value); }
$value = mysql_real_escape_string($value);
} else {
if(!get_magic_quotes_gpc()) { $value = addslashes($value); }
}
$value = strip_tags($value);
$value = htmlentities($value, ENT_QUOTES, 'utf-8');
$value = htmlspecialchars($value , ENT_QUOTES , 'utf-8');
return $value;
}
if(isset($_GET))
{
foreach($_GET as $k=>$v)
{
echo clean($v);
}
}
http://localhost/test.php?act=add_credit&rid=975&total=%22%20onmouseover%3dprompt%28929649%29%20bad%3d%
我看到
add_credit975" onmouseover=prompt(929649) bad=%
这意味着onmouseover=prompt(929649)
得到低谷......愚蠢,因为它听起来我没有到该网站的直接访问...有人只是给了我一个网页,并让我保证安全。
和使用PDO,编制报表,SQLI和.....是没问题
的[对 - 最终洁净的安全功能(http://stackoverflow.com/questions/4223980/the-ultimate-clean-secure-function) – 2013-05-11 19:39:57