标签: javascript
我的朋友是网络开发人员,初学者。我注意到他没有在表单提交时净化他的用户输入,因此我可以轻松保存到他的数据库工作<script>alert();</script>。
<script>alert();</script>
使用javascript进行了一些不错的操作后,他将代码更改为交换任何“&lt;”字符为“s”。因此,例如,写<script>alert();</script>将保存为DB sscript>alert();s/script>。
sscript>alert();s/script>
作为朋友,我想表明这不是解决方案。当使用这种“安全性”时,是否可以取消javascript?