Php 基本形式安全

嗯，我开始学习PHP了。因此，在一篇教程中，作者引用了

action=”“

好吧，对我来说，这和写：

action=”“

是一样的，而且不那么危险。 1-不是吗？

而且，我可以很容易地注意到，如果用户在地址栏上添加如下内容：

%22%3E%3Cscript%3Ealert（“在网站上显示消息”）%3C/script%3E

他将关闭

，并在源代码中添加JS警报。。。 但是，唯一的人会看到这是他自己 2-还是不是？

该人员如何向所有访客显示此消息

---

谢谢大家!

回答您的第一个问题，

action=“”

优于

action=“”

——基本上是一样的，如果没有指定，操作将默认为self。这是标准做法

第二个问题，它实际上取决于您对查询字符串所做的操作。如果您使用的是ID或页面名称之类的内容，那么首先（当然）您将使用诸如等函数转义和解码URL变量，因此您不必担心这一点

万一有人通过了你的消毒，像这样的脚本只会显示在他们的屏幕上。然而，如果有人发现他们可以通过你的低于标准的安全措施，他们不会只是在屏幕上发出警告信息

长短是：

• 使用空白动作将窗体对准自身
• 在处理完表单后，请使用标题重定向，以避免出现“是否确实要重新发送表单数据？”消息和/或重复数据处理
• 正确地转义查询字符串变量，这样就不必担心这些问题

跨站点脚本（XSS）是一个您应该熟悉的主题。谢天谢地，PHP有许多内置函数，可以帮助您实现安全的web应用程序。以下是一些供进一步阅读的链接：

---

立即停止学习该教程，阅读安全不仅仅是

php

的任务。使用

.htaccess

防止url攻击。有人给我推荐一本好的PHP书吗？我知道这个函数。。。我只是想知道为什么作者说用户会向所有人展示这条信息。它不会向每个人展示。我的示例是一个有一个表单（名称和电子邮件）的页面，因此我将在下面显示用户输入的内容。@user312514您在这里引用的是什么教程…？@user312514作者基本上是说，如果您将该代码公开，访问该页面的每个人都将收到违规警报。W3Cchool，但他说了如何保护该表单（基本原则）。