是否需要对选择输入(或复选框或无线电)进行清理和/或转义,假设该值将用于查询?如果是,为什么?我的意思是,这个价值怎么可能被某人改变?
答案 0 :(得分:4)
是的,您应该始终清理所有输入。仅仅因为您通过选择,广播或复选框向用户提供选择,并不意味着他们无法使用网络检查员更改他们可以选择的值。此外,他们总是可以制作自己的GET或POST请求,以发送他们想要的任何值。
答案 1 :(得分:1)
<input name="myradio" type="radio" value="2" />
成为
<input name="myradio" type="text" value="some baaad value" />
因此,清理所有输入的是 only 选项。