在網站中常有許多的表單欄位,若有心人在這些欄位中輸入了不好的語法,有可能會造成嚴重的資安問題;
這時我們可以在接收 POST/GET 資料時使用 htmlspecialchars() 函式,它的功能就是把一些html的語法轉成純文字輸入,讓內容中的語法不執行。

ex:
表單頁有一個欄位名稱為 name 的輸入框

假設 輸入的內容為

<script>alert("Hello! I am an alert box!");</script>

 

$name=htmlspecialchars($_POST['name']);//有加html過慮

echo $name;

顯示結果

<script>alert("Hello! I am an alert box!");</script>
$name=$_POST['name'];//沒加html過慮

echo $name;

顯示結果 你就會看到有跳出一個窗視

Leave a comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *