突然想到一个比较初级的问题,但如果要做到完善,我相信这也不是一件容易的事。
问题是这样的,PHP 在接收到客户端 POST 过来的数据之后,尤其是 “自由型” 的文本,例如论坛发帖、商品描述等等,在存入数据库之前,以及从数据库取出之后,要 echo 到页面上,都需要做哪一些过滤和转义,并且保持用户提交的,和下次用户在页面上看到的是一致的内容。这一些过滤和转义,PHP 自带的函数是否可靠?
这问题又涉及到两个分支:第一个是技术型论坛的帖子内容,当用户发帖的内容中包含 html 代码的话,在页面上也需要原封不动的显示出来;第二个是商品描述类型的,其实就是一定范围的富文本,可以改变字号什么的,这些代码是有起到作用的,而不是直接显示。
可能这问题对于经验丰富的开发者来说是比较初级的,也是必修课,但我还是希望能集思广益,大家一起来讨论,用哪些函数、执行的顺序、哪一些常见的函数有什么已知的漏洞,等等,或许也可以帮到更多的朋友。
谢谢!
问题是这样的,PHP 在接收到客户端 POST 过来的数据之后,尤其是 “自由型” 的文本,例如论坛发帖、商品描述等等,在存入数据库之前,以及从数据库取出之后,要 echo 到页面上,都需要做哪一些过滤和转义,并且保持用户提交的,和下次用户在页面上看到的是一致的内容。这一些过滤和转义,PHP 自带的函数是否可靠?
这问题又涉及到两个分支:第一个是技术型论坛的帖子内容,当用户发帖的内容中包含 html 代码的话,在页面上也需要原封不动的显示出来;第二个是商品描述类型的,其实就是一定范围的富文本,可以改变字号什么的,这些代码是有起到作用的,而不是直接显示。
可能这问题对于经验丰富的开发者来说是比较初级的,也是必修课,但我还是希望能集思广益,大家一起来讨论,用哪些函数、执行的顺序、哪一些常见的函数有什么已知的漏洞,等等,或许也可以帮到更多的朋友。
谢谢!
1
Select Language