关于 form 提交内容安全过滤的问题

泰坦

在 CGI  提交文本内容时至少要过滤掉几个特殊字符（串）才能保证不会有 HTML 或者 Script 的内容。

apile

事實上你不管在html裡面寫什麼，他都會先轉成%HH這種格式，
也就是說，他會先轉成十六進制的編碼，所以你不用擔心會有什麼
特別問題。只是當我們在寫CGI要輸出給用戶看的時候，就要小心
>;、"、<、&之類的特殊符號，幾乎每本介紹HTML的書都會講有些
特殊符號，可以利用&amp;&amp;這類的特殊方式顯示。實際上
你真正要要注意的只有兩個..">;"與"&"...其他的IE會懂...
   另外如果你要寫進數據庫裡面，最好先檢查他的內容到底是不是你
要的...舉個簡單例子：
select * from abc where name="$abc";
$abc是我們從html裡面抓到的參數..但是如果
$abc等於apile";update abc set priority="root" where name="apile"
這時候..數據庫會自動幫你把apile改成有root權限的用戶...
select * from apc where name="apile";update abc set priority="root" where name="apile"
所以之前很多phpBB會被遭遇隱碼攻擊就這這個原理..SQL2000也不例外
因此perl才會有所謂的Tainted mode，認為所有從client端取得的資料
都是不安全的..得用 $abc=~/(\w+)/; $abc=$1;這種方式抓資料..
你可以找一下舊帖..我簡單講過tainted的東西..