关于lifetype信息过滤的使用

最近淄博市对政府部门的网站进行了批量的安全检查，给了一个结果书，说我08年做的那个监督所的程序出现严重漏洞，有sql注入 盲注的严重漏洞，还有xss跨站共计问题
xss我实在想不清楚是如何跨站攻击的，因为本上lifetype这个博客框架做得足够细致。
于是我把这个监测工作交给，百度安全检测和360安全检测，发现360安全检测发现的问题比较多，但有用户反应使用drupal竟然也显示盲注漏洞，不过不管他，我且先看下去。
首先便是可访问目录列表。哇塞吓死我了，不行赶紧封了

在.htaccess文件中写入

 Order allow,deny
 Deny from all

通过这里防止目录文件被下载
然后再文件中继续写入

Options -Indexes

禁用目录列表

现在虽然用的人少了，但是还是有不少用户群体的。

为了查找sql注入是如何做的，我从服务器上下载下来近一年来的访问日志，想到之前在电脑报上别人的示例，注入一般开始是1=1，我就搜索，结果还真找到了
最后发现，我所用的lifetype的$this->_request程序在赋值的时候，没有过滤，我就在想对这个属性进行
修改吧，结果发现他有一个过滤类，但是需要对引用$this->_request 所有地方进行修改，
幸好，有一个入口文件home.php，哎，我懒得动手，于是在入口文件上对前台使用的数据id等之类使用interval方法，op等使用了strip_tags方法 没办法啊

if($_REQUEST['op']) 
    $_REQUEST['op']=strip_tags($_REQUEST['op']);
if($_REQUEST['newsId']) 
    $_REQUEST['newsId']=intval($_REQUEST['newsId']);
if($_REQUEST['categoryId']) 
    $_REQUEST['categoryId']=intval($_REQUEST['categoryId']);

if($_REQUEST['p']) 
    $_REQUEST['p']=intval($_REQUEST['p']);

修改完毕交给360继续测试。
360安全检测

lifetype 中文站