我通过POST方法发送所有表单信息,我想直接在屏幕上打印它们。当我提交
"aaaaaaaaaaaaaaa <b>Hello</b> <script>alert('Hello World')</script>"
进入输入区然后我在屏幕上看到打印“aaaaaaaaaaaaaa”然后加粗“Hello”就是这样。脚本在哪里?它是PHP实现的保护吗???
答案 0 :(得分:2)
检查您的PHP版本和magic_quotes_gpc值。它会逃避所有REQUEST数据。该值应为“关闭”。在PHP 5.3中magic_quotes_gpc已被删除。
答案 1 :(得分:1)
php没有针对这些攻击的原生保护,但网站应该实施这些保护
实际上,任何恶意代码都将通过php脚本进行转义
编辑:
echo strip_tags($_POST['data'], "<b><i><u>");