如果您未在应用程序中使用数据库,但是在代码中执行了“ echo”操作或使用了$_POST或$_GET变量,是否需要对它们进行转义?
喜欢:
if(isset($_GET['test']){
echo $_GET['test'];
}
要么
function math(){
if(isset($_GET['number'],$_GET['numberr']){
return $_GET['number']*$_GET['numberr'];
}
return null;
}
解决方法:
即使您使用数据库,也需要在打印之前对其进行转义或清理.有人可能会偷偷摸摸地使用< b>会使您的整个页面变为粗体,或< script> alert(‘hello’);< / script>将运行Javascript.
echo htmlspecialchars($_GET['test']);
这将替换您所有的<与& lt;和>与& gt;因此HTML会被视为文本而非HTML,并且不会弄乱您的页面.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
