我写了一个非常小的WordPress应用程序,它使用URL参数值在公共站点上生成html内容,如下所示:
网址示例:
www.mydomain/?prmtr=Chicago
代码:
$prmtr = isset( $_GET['prmtr'] ) ? $_GET['prmtr'] : 'NewYork';
可能的HTML集成就像这样
<h1>Hello Person from <?php echo $prmtr; ?></h1>
WordPress是否为我做了所有“脏工作”,比如防止攻击者注入SQL命令或其他内容?
提前致谢, 本
答案 0 :(得分:4)
不。那是你在那里的原始PHP。你必须自己保证安全。
只要您使用$ prtmr进行打印,就不需要担心SQL注入,只需要XSS攻击。