如果您未在应用程序中使用数据库,但是在代码中执行了“ echo”操作或使用了$_POST或$_GET变量,是否需要对它们进行转义?
喜欢:
if(isset($_GET['test']){
echo $_GET['test'];
}
要么
function math(){
if(isset($_GET['number'],$_GET['numberr']){
return $_GET['number']*$_GET['numberr'];
}
return null;
}
解决方法:
即使您使用数据库,也需要在打印之前对其进行转义或清理.有人可能会偷偷摸摸地使用< b>会使您的整个页面变为粗体,或< script> alert(‘hello’);< / script>将运行Javascript.
echo htmlspecialchars($_GET['test']);
这将替换您所有的<与& lt;和>与& gt;因此HTML会被视为文本而非HTML,并且不会弄乱您的页面.