HTML页面中可以这样设计,只要把form的method设置为GET就好了,这样,它就会自动的把搜索字符串加的URL的后面。
<form name="formSearch" action="search.php" method="GET">
<input type="text" value="" name="search">
<input type="submit" value="搜索">
</form>
下面是在search.php页面中进行搜索前要进行的处理
为了防止SQL攻击,对其进行过滤,并且,因为URL中带的是特殊格式的,所以要用urldecode函数来对它进行解码����
if (isset($_GET['search']) && strlen($_GET['search']) > 0 )
{
$search = trim(urldecode($_GET['search']));
$search = str_replace("update", "", strtolower($search));
$search = str_replace("insert", "", strtolower($search));
$search = str_replace("create", "", strtolower($search));
$search = str_replace("drop", "", strtolower($search));
$search = str_replace("delete", "", strtolower($search));
if (strlen($search) < 1)
{
die("Hacking attempt");
}
// 在这里可以进行其它处理工作了
}
