我的祖国诗朗诵,随身带着ipad,杀无赦第一季
<?
echo("<p>search results for query:").
$_get['query'].".</p>";
?>
这段代码的主要问题在于它把用户提交的数据直接显示到了网页上,从而产生xss漏洞。其实有很多方法可以填补这个漏洞。那么,什么代码是我们想要的呢?
<?
echo("<p>search results for query:").
htmlspecialchars($_get['query']).".</p>";
?>
这是最低要求。xss漏洞用htmlspecialchars函数填补了,从而屏蔽了非法字符。
<?php
if(isset($_get['query']))
echo'<p>search results for query:',
htmlspecialchars($_get['query'],ent_quotes).'.</p>';
?>
能写出这样代码的人应该是我想要录用的人了:
*<?被替换成了<?php,这样更符合xml规范。
*在输出$_get['query']值前先判断它是否为空。
*echo命令中多余的括号被去掉了。
*字符串用单引号限定,从而节省了php从字符串中搜索可替换的变量的时间。
*用逗号代替句号,节省了echo的时间。
*将ent_quotes标识传递给htmlspecialchars函数,从而保证单引号也会被转义,虽然这并不是最主要的,但也算是一个良好的习惯
如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!!
点击进行留言回复
相关文章:
-
-
-
-
Yii框架应用组件用法实例分析
本文实例讲述了yii框架应用组件用法。分享给大家供大家参考,具体如下:应用组件 应用主体是, 它部署一组提供各种不同功能的 应用组件 来处理请求。 例如,url...
[阅读全文]
-
-
-
-
-
Yii 框架入口脚本示例分析
本文实例讲述了yii 框架入口脚本。分享给大家供大家参考,具体如下:入口脚本入口脚本是应用启动流程中的第一环, 一个应用(不管是网页应用还是控制台应用)只有一个...
[阅读全文]
-
PHP强制转化的形式整理
php强制转化有几种形式php强制转化有3种形式:1、在要转换的变量之前加上用括号括起来的目标类型;2、使用转强函数,如“intval()”,“strval()...
[阅读全文]
-
php7 新增功能实例总结
本文实例总结了php7 新增功能。分享给大家供大家参考,具体如下:一、核心 增加了group use语法声明。rfc: https://wiki.php.ne...
[阅读全文]
我要评论
网友评论