Heim >Backend-Entwicklung >PHP-Tutorial >php代码 劣质的PHP代码简化

php代码 劣质的PHP代码简化

WBOY
WBOYOriginal
2016-07-29 08:41:431017Durchsuche

复制代码 代码如下:



echo("

search results for query:").
$_GET['query'].".

";
?>

这段代码的主要问题在于它把用户提交的数据直接显示到了网页上,从而产生XSS漏洞。其实有很多方法可以填补这个漏洞。那么,什么代码是我们想要的呢?

复制代码 代码如下:



echo("

search results for query:").
htmlspecialchars($_GET['query']).".

";
?>

这是最低要求。XSS漏洞用htmlspecialchars函数填补了,从而屏蔽了非法字符。

复制代码 代码如下:


if(isset($_GET['query']))
echo'

search results for query:',
htmlspecialchars($_GET['query'],ENT_QUOTES).'.

';
?>

能写出这样代码的人应该是我想要录用的人了:
**在输出$_GET['query']值前先判断它是否为空。
*echo命令中多余的括号被去掉了。
*字符串用单引号限定,从而节省了PHP从字符串中搜索可替换的变量的时间。
*用逗号代替句号,节省了echo的时间。
*将ENT_QUOTES标识传递给htmlspecialchars函数,从而保证单引号也会被转义,虽然这并不是最主要的,但也算是一个良好的习惯

以上就介绍了php代码 劣质的PHP代码简化,包括了php代码方面的内容,希望对PHP教程有兴趣的朋友有所帮助。

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn