5 个解决方案
#1
$prescription = trim($_GET['q']);
<a href="./?q='.urlencode($prescription).'">
<input name="q" type="text" size="20" maxlength="20" />
这是 url 参数 q 的几次出现的地方
是否会招来 XSS 攻击这很难说,但不验证传入参数的来源和合法性总是不妥的
你至少需要将表单的提交方式由 get 改成 post
<a href="./?q='.urlencode($prescription).'">
<input name="q" type="text" size="20" maxlength="20" />
这是 url 参数 q 的几次出现的地方
是否会招来 XSS 攻击这很难说,但不验证传入参数的来源和合法性总是不妥的
你至少需要将表单的提交方式由 get 改成 post
#2
主要说的是你:
<font color="#c60a00">'.$prescription.'</font>这个地方
你这样显示,如果$prescription的内容是恶意的HTML、js代码,那它就会直接执行了。
显示之前用stripslashes处理下就好。
<font color="#c60a00">'.$prescription.'</font>这个地方
你这样显示,如果$prescription的内容是恶意的HTML、js代码,那它就会直接执行了。
显示之前用stripslashes处理下就好。
#3
可以帮我修改一下吗? 这个东西不太在行……。html还行。
#4
可以帮改一下吗? 你们说的太高深……我html还行……太复杂不行阿。
#5
*****************
#for之外
$keyword = $prescription;
if (!get_magic_quotes_gpc()){
$keyword = addslashes($keyword);
}
$keyword=explode(" ",$keyword);//拆分关键字
#for之外
*********
*********
$info = '<div class="zt"><b><a href="./">酒方大全</a>:找到 <a href="./?q='.urlencode($prescription).'"><font color="#c60a00">'.stripslashes($prescription).'</font></a> 的相关'.$r_num.'个</b>';
#for之外
$keyword = $prescription;
if (!get_magic_quotes_gpc()){
$keyword = addslashes($keyword);
}
$keyword=explode(" ",$keyword);//拆分关键字
#for之外
*********
*********
$info = '<div class="zt"><b><a href="./">酒方大全</a>:找到 <a href="./?q='.urlencode($prescription).'"><font color="#c60a00">'.stripslashes($prescription).'</font></a> 的相关'.$r_num.'个</b>';
#1
$prescription = trim($_GET['q']);
<a href="./?q='.urlencode($prescription).'">
<input name="q" type="text" size="20" maxlength="20" />
这是 url 参数 q 的几次出现的地方
是否会招来 XSS 攻击这很难说,但不验证传入参数的来源和合法性总是不妥的
你至少需要将表单的提交方式由 get 改成 post
<a href="./?q='.urlencode($prescription).'">
<input name="q" type="text" size="20" maxlength="20" />
这是 url 参数 q 的几次出现的地方
是否会招来 XSS 攻击这很难说,但不验证传入参数的来源和合法性总是不妥的
你至少需要将表单的提交方式由 get 改成 post
#2
主要说的是你:
<font color="#c60a00">'.$prescription.'</font>这个地方
你这样显示,如果$prescription的内容是恶意的HTML、js代码,那它就会直接执行了。
显示之前用stripslashes处理下就好。
<font color="#c60a00">'.$prescription.'</font>这个地方
你这样显示,如果$prescription的内容是恶意的HTML、js代码,那它就会直接执行了。
显示之前用stripslashes处理下就好。
#3
可以帮我修改一下吗? 这个东西不太在行……。html还行。
#4
可以帮改一下吗? 你们说的太高深……我html还行……太复杂不行阿。
#5
*****************
#for之外
$keyword = $prescription;
if (!get_magic_quotes_gpc()){
$keyword = addslashes($keyword);
}
$keyword=explode(" ",$keyword);//拆分关键字
#for之外
*********
*********
$info = '<div class="zt"><b><a href="./">酒方大全</a>:找到 <a href="./?q='.urlencode($prescription).'"><font color="#c60a00">'.stripslashes($prescription).'</font></a> 的相关'.$r_num.'个</b>';
#for之外
$keyword = $prescription;
if (!get_magic_quotes_gpc()){
$keyword = addslashes($keyword);
}
$keyword=explode(" ",$keyword);//拆分关键字
#for之外
*********
*********
$info = '<div class="zt"><b><a href="./">酒方大全</a>:找到 <a href="./?q='.urlencode($prescription).'"><font color="#c60a00">'.stripslashes($prescription).'</font></a> 的相关'.$r_num.'个</b>';