Question

所以我对在高度安全的环境（医院网站）中生成PHP应用程序有点新意，我正在努力保持警惕。我的其中一个页面上有一个表单，如果某个电子邮件地址无效或者该表单为空，则会重定向用户，如下所示：

header("Location: /root/page.php?message=message to the person who messed up");
exit;

在页面上收到的信息如下：

if(isset($_GET['message'])){
    echo "$_GET[message]";
}

很明显，该消息显示在URL中。我的问题有两方面：

Answer 1

使用echo $ _GET [＆＃39; message＆＃39;] urs在GET [＆＃39;＆＃39;]部分内缺少单引号，并且在引号内使用$ _GET。它应该像＆＃34; text＆＃34;。$ _ GET []其中GET []左边的点是连接运算符。

Answer 2

所以我这样做是为了防止在网址中发送信息：
我的“控制者”：

start_session();
...
$message = "Some message here";
$_SESSION['message'] = $message;
header("Location: /path/to/location");

“观点”：

if(isset($_SESSION['message'])){
    start_session();
    echo "$_SESSION['message'];
}