懶惰就是這麼回事,或者說,技術債? 一切盡在不言中;最常見的原因是開啟了 magic_quotes_gpc,但又手寫 addslashes。PHP (5.4) 已經移除 magic_quotes 的功能,並且在資料庫部份,改以參數(prepared statement)的方式傳入欄位值(對抗 SQL Injection)。因此從收字串 (GET/POST/FILE) 到進資料庫,原則上可以啥事都不做。 但對於要輸出至 html 的字串,還是需要手動過濾,以免帶有標籤搞亂排版,甚至是嵌了 javascript 被搞 XSS 唷。 分享此文:分享到 Twitter(在新視窗中開啟)按一下以分享至 Facebook(在新視窗中開啟)請按讚:喜歡 正在載入... 相關
No Comments Yet