我正在使用搜索表单构建网站,出于安全原因,我试图做一个更好的编码,所以这是我的表单代码
if (isset($_POST["keyword"]))
{
$keywords = $_POST["keyword"];
// $keywords = htmlspecialchars($keywords);
header("Location: /$keywords");
我已经找到了不同的指南来剥离和确保像htmlspecialchars()这样的代码,大多数指南都涉及mysql查询,但是在我的结构中,查询已经变得安全了。
我的疑问是,在通过URL REQUEST传递关键字之前,黑客可以在我的网站中注入php代码吗?
所以我试图在搜索表单中传递一个类似date('Y-m-d')的php函数,以检测我的网站是否返回了具有实际时间的URL,但是经过测试,我发现该网站仅返回了函数文本,而从不剥离函数使用。
那么谁阻止了此功能的执行,PHP或nginx中是否有任何自动阻止功能?
要确保此代码安全,只需仅使用htmlspecialchars()?