PHP處理表單數據的一個安全回顧(記錄教訓)

曾經看過一個安全文章中寫過這麼一條php

表單輸入數據要作 htmlspecialchars_decodehtml

表單輸出數據要作htmlspecialchars安全

當時還不是很理解爲何,本身也沒遇到問題,因此就沒作spa

然而不是不報 時候未到 今天終於遇到了這個坑code

<input  type="text" value="<?php echo $value; ?>">

當採用上面代碼輸出的時候htm

假如 $value 裏面有 " 雙引號 那麼value這個鍵將會被提早閉合,形成表單數據顯示不徹底,並且會多出來其餘內容被識別爲鍵的狀況blog

這下就慘了 全部這麼輸出的地方都要處理了,暫時也只能頭痛醫頭,腳痛醫腳了,先作轉義好了ci

相關文章
相關標籤/搜索