我要评论
ewebeditor及fckeditor,90%的网站都是采用这两种编辑器作为产品或者内容的说明部分的编辑窗口,近日,一客户的外贸站点基本上快完工了,因客户产品分类多,故而让客户自己在后台添加产品,但是客户反映,在后台添加产品时,如果产品说明内容太过复杂的话,产品怎么也添加不入数据库中。
当时,我们也好生郁闷,这到底怎么回事,我们亲自测试后台添加任意的产品或者文字都能成功,偏偏他就不行,在网站搜索了相关的如“ewebeditor 不能添加到数据库”,似乎找到了一点答案,因ewebeditor自身没对单引号过滤,导致了添加不到数据库的问题。于是乎,我们把编辑器换成了fckeditor,可是还是不行,那是ewebeditor及fckeditor自带的不完善导致的吗?为什么一个简单的单引号会引发不能添加到数据库呢,想到这里,我们想到了分析下入库代码,我们采用的是sql=insert into product(title,content) values(' " &request("title")& "' ,' "&request("content")& " ' )的写法,于是我们找到客户当时copy进编辑器里的内容,发现,果然这内容中包括有单引号,原来,正是由于客户提交到编辑器里的内容中含有单引号,导致我们的sql语句变化了,相当于原来是sql=insert into product(title,content) values('内容' ,'内容' )变成了sql=insert into product(title,content) values(' 内容' ,' 内容'' ) ,我们细看就知道,就因为这content里多了个单引号,sql语句发生的严重的写法错误,但是,我们也奇怪,既然他写法错误,为什么sql语句不给出错误提示呢,竟然也会提示操作成功,想到这里,我们想到了2003年那几年,普遍的小黑客喜欢用的'or'='or'的后台入侵法,是乎正是利用了sql执行时,没过滤单引号的bug,导致sql怎么执行,结果都返回真,呵呵,没想到,原以为写程序尽量图个简单明了,也是个错啊。好了,问题找到了,以后,凡是sql入库前,我们都把字段过滤后再传值,就不会再出这样的问题了,下面是一个非常完善的sql安全过滤函数,大家直接拿去就可以调用了。
- 站内搜索
发表评论