代码之家  ›  专栏  ›  技术社区  ›  Val

PHP输出的最佳实践

encoding php
  •  2
  • Val  · 技术社区  · 14 年前

    我在想,下面这个例子的最佳实践是什么。 

    <?php

if(isset($_POST['query'])){
  $out = $_POST['query'];
}

?>
<div><?php echo $out; ?></div>
<input type="text" value="<?php echo $out; ?>" />

    使用上述代码会对网站造成威胁。或者在使用之前我需要准备输出。我所说的“准备”是指对其进行编码或转义特殊字符。

    我知道您需要转义它并验证输入以供db使用,输出它如何?

    3 回复  |  直到 14 年前
        1
  •  3
  •   Gumbo    14 年前

    是的,因为你要把它放到HTML中,所以你应该使用适当的编码HTMLs特殊字符 htmlspecialchars : 

    if (isset($_POST['query'])) {
    $out = htmlspecialchars($_POST['query']);
}

    除此之外, $out 仅当 $_POST['query'] 如果存在默认值,则应该考虑 $后[“查询”] 不存在。否则,当 register globals 如果已启用(这是个坏主意),则可以通过URL查询字符串设置该变量 ?out=… .

        2
  •  2
  •   Community Romance    7 年前

    是的,您应该使用php函数htmlspecialchars http://php.net/manual/en/function.htmlspecialchars.php

    另外,请参阅(接受的答案)

    Do htmlspecialchars and mysql_real_escape_string keep my PHP code safe from injection?

        3
  •  1
  •   Barkermn01    14 年前

    不知道最佳实践,这取决于我喜欢的编码器 

    echo (isset($_POST['query']))? htmlspecialchars($_POST['query']):"";
    推荐文章
    Jacco  ·  未能格式化我的日期以在php中正确工作
    1 年前
    darshita_baldha  ·  如何在Laravel组件中传递数组变量?
    1 年前
    nitroflox  ·  在php中删除带有安全和httponly选项的cookie值得吗?
    1 年前
    Community wiki  ·  在OOP中,依赖项是否应该包含对其父项的引用?
    1 年前
    Arno van Oordt  ·  存储在MonogoDB中时将类实例转换为字符串
    1 年前
    Jaime Montoya  ·  访问器魔术方法在PHP 8中不起作用[重复]
    1 年前
    jay ram  ·  如何在URL核心php中从API获取JSON?
    1 年前
    Endricho Folabessy  ·  我在Laravel 10中的一对一关系有什么错误
    1 年前
    pernifloss  ·  如何在使用电子邮件时保持Outlook邮件未读trhough pop3
    1 年前
    Ishwarya A  ·  php电子表格在浏览器中显示多张excel
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号