劣質的PHP代碼簡化_PHP教程

來源:互聯網
上載者:User
複製代碼 代碼如下:
echo("

search results for query:").
$_GET['query'].".

";
?>

這段代碼的主要問題在於它把使用者提交的資料直接顯示到了網頁上,從而產生XSS漏洞。其實有很多方法可以填補這個漏洞。那麼,什麼代碼是我們想要的呢?
複製代碼 代碼如下:
echo("

search results for query:").
htmlspecialchars($_GET['query']).".

";
?>


這是最低要求。XSS漏洞用htmlspecialchars函數填補了,從而屏蔽了非法字元。
複製代碼 代碼如下:
if(isset($_GET['query']))
echo'

search results for query:',
htmlspecialchars($_GET['query'],ENT_QUOTES).'.

';
?>

能寫出這樣代碼的人應該是我想要錄用的人了:
**在輸出$_GET['query']值前先判斷它是否為空白。
*echo命令中多餘的括弧被去掉了。
*字串用單引號限定,從而節省了PHP從字串中搜尋可替換的變數的時間。
*用逗號代替句號,節省了echo的時間。
*將ENT_QUOTES標識傳遞給htmlspecialchars函數,從而保證單引號也會被轉義,雖然這並不是最主要的,但也算是一個良好的習慣

http://www.bkjia.com/PHPjc/321134.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/321134.htmlTechArticle複製代碼 代碼如下: ? echo("psearch results for query:"). $_GET['query']."./p"; ? 這段代碼的主要問題在於它把使用者提交的資料直接顯示到了網頁上,從...

  • 聯繫我們

    該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

    如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

    A Free Trial That Lets You Build Big!

    Start building with 50+ products and up to 12 months usage for Elastic Compute Service

    • Sales Support

      1 on 1 presale consultation

    • After-Sales Support

      24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.