❶ 留言板防灌水功能应该怎么做怎么防止sql注入用PHP编写
防灌水:
对无意义帖判定,比如:字数太少,纯数字,无意义的连续数字或字母。
发帖时间间隔和发帖量
系统设置一批关键词匹配,发现有类似的先设为需审核 ,由后台手动操作。
防sql注入
先对提交数据中的危险字符过滤或编码。比如:名称或帖子标题,一定不能是html,直接进行htmlencode ,最后输出到页面上,也不会变成html,而是显示原始字符。对需要使用html的内容部分,过滤script,style等标签,或者直接用strip_tags 函数只保留必要的段落等排版标签。
其次也可以考虑使用bbcode或markdown等对排版有限制的语法转义
数据库操作使用pdo参数编译的模式,可以有效防止提交数据中的注入字符(会变成正常字符插入到数据库中,这也可以防止误判,因为很多IT类的技术帖需要在内容中有这些关键字)