前些天为了解决评论注册等页面的XSS注入问题.

特意把所有插入数据库的操作都打了防注入注解.

然后看着后台这些天无数报错,都说某字段长度太长超出限制.

起初以为是防注入生效后,拦截的大佬们的注入测试没当一回事.

今天,感觉很奇怪,为什么这么多人访问没有新用户产生,也没有新评论.....

于是自己注册了一下,发现自己也因为字段传入过长被拦截了.

这时候才意识到出了一个很严重的bug....

然后再次打开源码debug,才找出问题:

之前写的正则表达式有两行用了*,这是匹配0-多个的意思,也就是说,无论任何字符串,经过它匹配都能匹配到,然后一次次的替换,导致所有的传入字段被无数个非法字符替换,长度超出....写入数据库就失败了..

赶紧修复,并把新代码更新到了服务器..

在此,向这些天访问,但被BUG折磨的大佬们致歉...

1. 

   郭大叔 2017-07-08 17:41:59

   评论正常了吧?