如果您未在应用程序中使用数据库,但是在代码中执行了“ echo”操作或使用了$_POST或$_GET变量,是否需要对它们进行转义？

喜欢：

if(isset($_GET['test']){
  echo $_GET['test'];
}

要么

function math(){
if(isset($_GET['number'],$_GET['numberr']){
  return $_GET['number']*$_GET['numberr'];
}
return null;
}

解决方法:

即使您使用数据库,也需要在打印之前对其进行转义或清理.有人可能会偷偷摸摸地使用< b>会使您的整个页面变为粗体,或< script> alert(‘hello’);< / script>将运行Javascript.

echo htmlspecialchars($_GET['test']);

这将替换您所有的<与& lt;和>与& gt;因此HTML会被视为文本而非HTML,并且不会弄乱您的页面.