第一次写一个面对海量用户的写操作函数,各种无意或者故意的非法输入是常态,各种心虚。

为了保持用户的良好体验,给表单的提交添加了用户提交失败返回时还能保持用户输入的特性。

<textarea></textarea> 中间的任何html字符都会被当作普通文本处理,测试时用<b></b>,<script>alert();</script>都没问题,就没用htmlspecialchars进行转义。

突然想到用户输入</textarea><script>…</script>,不就悲剧了。。。果然。。。

htmlspecialcharsaddslashes ,  Magic Quotes

转载请注明来源:Leoncom-《任何用户输入都必须转义》
Trackback

no comment untill now

Add your comment now