而對于不能使用參數(shù)化查詢的部分（比如in、like語句），使用嚴(yán)格的過濾函數(shù)進(jìn)行過濾。如各模塊的搜索功能的模糊查詢語句："select * from aaa where Title like '%" & Keyword & "%'"，在這里會對提交過來的要害字做嚴(yán)格的過濾。

　　另外，動易CMS2007還通過限定URL的傳遞參數(shù)類型、數(shù)量、范圍等來防止通過構(gòu)造URL進(jìn)行惡意攻擊。

　　根據(jù)OWASP組織發(fā)布的2007年Web應(yīng)用程序脆弱性10大排名統(tǒng)計(jì)，跨站腳本、注入漏洞、跨站請求偽造、信息泄露等幾方面仍然是目前流行的攻擊方式。其中，跨站腳本攻擊已經(jīng)超過了SQL注入漏洞攻擊，位列首位。因?yàn)閄SS最難處理，限制得過死，正常功能也將無法使用，稍微一松，就有可能因?yàn)檫^濾不嚴(yán)而產(chǎn)生漏洞。而XSS的攻擊方式之多，可能會超乎大家的想像。我發(fā)個網(wǎng)址給大家，有愛好的人可以上去看看：http://ha.ckers.org/xss.html

　　動易的腳本過濾函數(shù)針對上述網(wǎng)址中的攻擊方式制定了一套完整的防范方案，可以有效的防范XSS攻擊。再綜合運(yùn)用上述列舉的各種防范措施，可以最大限度的防范跨站腳本攻擊。

　　什么是跨站請求偽造？大家可以看看這篇文章：

查看更多 動易Cms教程  動易Cms模板