php留言功能

㈠ 留言板防灌水功能应该怎么做怎么防止sql注入用php编写

防灌水：

1. 对无意义帖判定，比如：字数太少，纯数字，无意义的连续数字或字母。

2. 发帖时间间隔和发帖量

3. 系统设置一批关键词匹配，发现有类似的先设为需审核 ，由后台手动操作。

防sql注入

1. 先对提交数据中的危险字符过滤或编码。比如：名称或帖子标题，一定不能是html，直接进行htmlencode ，最后输出到页面上，也不会变成html，而是显示原始字符。对需要使用html的内容部分，过滤script，style等标签，或者直接用strip_tags 函数只保留必要的段落等排版标签。
   

2. 其次也可以考虑使用bbcode或markdown等对排版有限制的语法转义

3. 数据库操作使用pdo参数编译的模式，可以有效防止提交数据中的注入字符（会变成正常字符插入到数据库中，这也可以防止误判，因为很多IT类的技术帖需要在内容中有这些关键字）

㈡ php留言板审核功能怎么做

第一步：把留言板的列表数据列出来（按留言倒序查询），正常的呈现都是表格的方式。

第二部：每行留言都有审核通过，审核不通过的按钮。正常选择不通过需要填写原因。

如图所示