懶惰就是這麼回事,或者說,技術債?

中文字串編碼與跳脫錯誤
一切盡在不言中;最常見的原因是開啟了 magic_quotes_gpc,但又手寫 addslashes。PHP (5.4) 已經移除 magic_quotes 的功能,並且在資料庫部份,改以參數(prepared statement)的方式傳入欄位值(對抗 SQL Injection)。因此從收字串 (GET/POST/FILE) 到進資料庫,原則上可以啥事都不做。

但對於要輸出至 html 的字串,還是需要手動過濾,以免帶有標籤搞亂排版,甚至是嵌了 javascript 被搞 XSS 唷。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料