Php 基本形式安全
嗯,我开始学习PHP了。因此,在一篇教程中,作者引用了Php 基本形式安全,php,forms,security,Php,Forms,Security,嗯,我开始学习PHP了。因此,在一篇教程中,作者引用了action=”“ 好吧,对我来说,这和写:action=”“是一样的,而且不那么危险。 1-不是吗? 而且,我可以很容易地注意到,如果用户在地址栏上添加如下内容:%22%3E%3Cscript%3Ealert(“在网站上显示消息”)%3C/script%3E他将关闭,并在源代码中添加JS警报。。。 但是,唯一的人会看到这是他自己 2-还是不是? 该人员如何向所有访客显示此消息 谢谢大家! 回答您的第一个问题,action=“”优于actio
action=”“
好吧,对我来说,这和写:action=”“
是一样的,而且不那么危险。
1-不是吗?
而且,我可以很容易地注意到,如果用户在地址栏上添加如下内容:%22%3E%3Cscript%3Ealert(“在网站上显示消息”)%3C/script%3E
他将关闭
,并在源代码中添加JS警报。。。
但是,唯一的人会看到这是他自己
2-还是不是?
该人员如何向所有访客显示此消息
谢谢大家! 回答您的第一个问题,
action=“”
优于action=“”
——基本上是一样的,如果没有指定,操作将默认为self。这是标准做法
第二个问题,它实际上取决于您对查询字符串所做的操作。如果您使用的是ID或页面名称之类的内容,那么首先(当然)您将使用诸如等函数转义和解码URL变量,因此您不必担心这一点
万一有人通过了你的消毒,像这样的脚本只会显示在他们的屏幕上。然而,如果有人发现他们可以通过你的低于标准的安全措施,他们不会只是在屏幕上发出警告信息
长短是:
- 使用空白动作将窗体对准自身
- 在处理完表单后,请使用标题重定向,以避免出现“是否确实要重新发送表单数据?”消息和/或重复数据处理
- 正确地转义查询字符串变量,这样就不必担心这些问题
php
的任务。使用.htaccess
防止url攻击。有人给我推荐一本好的PHP书吗?我知道这个函数。。。我只是想知道为什么作者说用户会向所有人展示这条信息。它不会向每个人展示。我的示例是一个有一个表单(名称和电子邮件)的页面,因此我将在下面显示用户输入的内容。@user312514您在这里引用的是什么教程…?@user312514作者基本上是说,如果您将该代码公开,访问该页面的每个人都将收到违规警报。W3Cchool,但他说了如何保护该表单(基本原则)。