使用PHP在页面的标题标记内运行SQL查询。安全实践?
我使用动态加载的样式表创建了一个网站。登录php页面时,在标题标签中查询数据库(就在my使用PHP在页面的标题标记内运行SQL查询。安全实践?,php,mysql,Php,Mysql,我使用动态加载的样式表创建了一个网站。登录php页面时,在标题标签中查询数据库(就在my之前),查看用户想要的外观,并加载相应的样式表 我想知道这是否是一种安全的做法。即使我使用PDO和准备好的语句,我是否仍有可能以某种方式将我的数据库或网站置于风险之中,但在我的页面的标题标记中查询数据库 PHP是一种服务器端语言。所有PHP代码首先在服务器上运行,结果发送到客户端。PHP代码“嵌入”HTML只是一种方便的语法,它不会改变这一基本事实 <h1><?php echo 'foo';
之前),查看用户想要的外观,并加载相应的样式表
我想知道这是否是一种安全的做法。即使我使用PDO和准备好的语句,我是否仍有可能以某种方式将我的数据库或网站置于风险之中,但在我的页面的标题标记中查询数据库 PHP是一种服务器端语言。所有PHP代码首先在服务器上运行,结果发送到客户端。PHP代码“嵌入”HTML只是一种方便的语法,它不会改变这一基本事实
<h1><?php echo 'foo'; ?></h1>
在功能上完全相同于:
<?php
echo '<h1>foo</h1>';
为什么不使用数组,例如:
$header = array(
"fancytables" => "css/fancyt.css",
"graphs" => "css/plugins/graphs.css"
)
这样称呼它
if ($hasTables) echo "<link href='".$header['fancytables']."' rel="stylesheet">
if($hasTables)echo“
< /代码>您不应该从HTML页面中查询。您应该从应用程序中的函数或方法构建标题,然后将其返回到您的页面。是否允许用户指定外部样式表?如果是,请考虑您的站点将有多好,如果您最终获得<>代码> /代码> @ MARC,我将采取该样式表……o)