劣質的PHP代碼簡化

複製代碼 代碼如下:<?
echo("<p>search results for query:").
$_GET['query'].".</p>";
?>

這段代碼的主要問題在於它把使用者提交的資料直接顯示到了網頁上，從而產生XSS漏洞。其實有很多方法可以填補這個漏洞。那麼，什麼代碼是我們想要的呢？ 複製代碼 代碼如下:<?
echo("<p>search results for query:").
htmlspecialchars($_GET['query']).".</p>";
?>

這是最低要求。XSS漏洞用htmlspecialchars函數填補了，從而屏蔽了非法字元。 複製代碼 代碼如下:<?php
if(isset($_GET['query']))
echo'<p>search results for query:'，
htmlspecialchars($_GET['query'],ENT_QUOTES).'.</p>';
?>

能寫出這樣代碼的人應該是我想要錄用的人了：
*<?被替換成了<?php,這樣更符合XML規範。
*在輸出$_GET['query']值前先判斷它是否為空白。
*echo命令中多餘的括弧被去掉了。
*字串用單引號限定，從而節省了PHP從字串中搜尋可替換的變數的時間。
*用逗號代替句號，節省了echo的時間。
*將ENT_QUOTES標識傳遞給htmlspecialchars函數，從而保證單引號也會被轉義，雖然這並不是最主要的，但也算是一個良好的習慣