HTML 到 Javascript 到 PHP。这很危险吗?

【问题标题】:HTML to Javascript to PHP. Is this dangerous?HTML 到 Javascript 到 PHP。这很危险吗?
【发布时间】:2016-01-28 06:56:56
【问题描述】:

我想从 Javascript 中获取一个 PHP 变量。所以我使用 HTML 的帮助

<input type="text" value="" name="number1"id="number"style="display:none;">

然后我给出来自 Javascript 的值

 var c = (Math.floor((Math.random() * 8) + 5)).toString();

 document.getElementById("number").value = c;

最后在 PHP 中使用它

$number =$_POST["number1"];

这很危险并且有任何错误的可能性吗?谢谢你

【问题讨论】:

  • 是的,没关系。只需进行服务器端验证。来自客户端的任何数据都是危险的。不过,您可以使用 &lt;input type="hidden"&gt; 而不是 display:none;
  • 取决于您如何存储和呈现用户输入。如果存储,SQL注入是可能的,如果呈现XSS注入是可能的。
  • @Faisal。从未听说过这种类型的输入。对我来说新知识:)
  • @Darren。这种代码从来都不是绝对安全的,不是吗?我会检查那些注射然后
  • 使用 HTML 构建文档。用 JS 只验证小东西(例如字符串的长度)并向某些文件发送请求。使用 PHP 验证所有数据,如果一切正常,则向您的 JS 发送响应。

标签: javascript php html variables


【解决方案1】:

您的代码可能是安全的,这取决于您如何处理收到的数据。

请始终牢记,您可能永远不会信任用户。 您可以使用 if 语句来检查用户的输入是否有效。

【讨论】:

    【解决方案2】:

    在 PHP 中验证对您来说要容易得多。

    请参阅 W3Schools 的 PHP 5 Form Validation

    【讨论】:

    • 这都是关于让我使用这种方式的 javascript 代码。但我会检查参考资料。谢谢
    • 如果你想输入,不要清理 html/有风险的脚本。只需在输出时对其进行消毒。但是,如果您使用的是数据库,只需在输入中清理一些 sql 注入,而不是输出。
    【解决方案3】:

    尝试使用下面的代码。您可以在 javascript 中使用 php

    <script type="text/javascript">
  var jvalue = 'this is javascript value';
  <?php $abc = "<script>document.write(jvalue)</script>"?>   
</script>

<?php echo  'php_'.$abc;?>

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2018-12-02
      • 1970-01-01
      • 2011-04-20
      • 2010-09-28
      • 2016-08-08
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode