PHP程序员最易犯1种错误
PHP是个伟大的web开发语言,灵活的语言,但是看到php程序员周而复始的犯的一些错误。我做了下面这个列表,列出了PHP程序员经常犯的10中错误,大多数和安全相关。看看你犯了几种。
1.不转意html entities
一个基本的常识:所有不可信任的输入(特别是用户从form中提交的数据) ,输出之前都要转意。
| echo $_GET['usename'] ; |
这个例子有可能输出:
| <scrīpt>/*更改admin密码的脚本或设置cookie的脚本*/</scrīpt> |
这是一个明显的安全隐患,除非你保证你的用户都正确的输入。
如何修复 :
我们需要将”< “,”>”,”and” 等转换成正确的HTML表示(< , >’, and “),函数htmlspecialchars 和 htmlentities()正是干这个活的。
正确的方法:
| echo htmlspecialchars($_GET['username'], ENT_QUOTES); |