cuclife.com > IT > PHP > 0

PHP不转意html entities的问题

网络整理 - 08-05

一个基本的常识:所有不可信任的输入(特别是用户从form中提交的数据) ,输出之前都要转意。

echo $_GET['usename'] ;

这个例子有可能输出:

<scrīpt>/*更改admin密码的脚本或设置cookie的脚本*/</scrīpt>

这是一个明显的安全隐患,除非你保证你的用户都正确的输入。

如何修复 :

我们需要将”< “,”>”,”and” 等转换成正确的HTML表示(< , >’, and “),函数htmlspecialchars 和 htmlentities()正是干这个活的。

正确的方法:

echo htmlspecialchars($_GET['username'], ENT_QUOTES);

▪ PHP相对路径问题
▪ ThinkPHP在控制器里写js代码没有执行的问题
▪ PHP常用函数:过滤HTML字符串
▪ php中过滤html代码的函数 提高程序安全性
▪ Web 开发中遇到的UTF-8的问题总结
▪ PHP生成静态html文件的三种方法
▪ 关于php curl获取301或302转向的网址问题
▪ 用PHP的ob_start()控制您的浏览器cache、生成html