任何人都可以利用我的以下代码: -
$myfile = fopen("chat.txt", "a") or die("Unable to save!");
$content = trim($_POST['message'])."\n";
fwrite($myfile, $content);
fclose($myfile);
我正在制作小型聊天应用程序,我在text文件而不是mysql编写内容。性能没有太大变化,但我更喜欢file,因为它比mysql快一点。
我唯一担心的是,"任何人都可以利用"上面的代码?
我没有看到任何方式,但只是问,如果我错过任何东西。
答案 0 :(得分:2)
是的,它们被称为XSS攻击。它们不会让您了解如何存储数据,而是将其打印出来。
基本上,攻击可以包含将在客户端计算机上运行的javascript代码,以窃取他们的cookie,例如攻击者感兴趣的会话ID。
您可以使用htmlentities()对其进行编码并使用html_entity_decode()进行解码来避免这种情况。
答案 1 :(得分:2)
\n,因此如果您依赖它,我可能会破坏订单/流量,cat