【发布时间】:2012-12-18 22:39:00
【问题描述】:
可能重复:
How to properly escape html form input default values in php?
我目前正在使用:
if (isset($_GET['b']))
{
$bb = $_GET['b'];
echo 'found';
}
else
{
$bb = 'white';
echo 'notfound';
}
和
<body bgcolor="<?php echo $bb; ?>">
要允许用户设置页面的颜色,避免注入最安全的方法是什么?
【问题讨论】:
-
长袖衬衫可能不错。或者一套盔甲。但是我怀疑你不是在谈论那些类型的注射 - 小心扩展你的真正意思?
-
人们将能够注入 javascript 文件以从文本字段中窃取数据,整个页面的重点是让用户可以在他们的网站上使用 iframe 并相应地设置背景
-
@NanashiDri 我很高兴有人这么说。你可以“避免”任何你想要的东西,但我总是可以打开我的检查器并在客户端更改任何东西。这是你无法控制的。
-
@user1841964 - 贝蒂福特诊所 - 但为什么有人要窃取他们自己的输入字段。也许是健忘症。