繁體中文当前位置: 首页 > 图文教程 > 网络编程 > PHP > 劣质的PHP代码简化
- PHP
- 如何用PHP脚本和PEAR类创建ZIP档案文件
- 在线管理PHP网站文件
- 利用PHP代码实现网页自动判断转向
- PHP程序中的特效应用 实用代码珍藏
- 如何使用PHP和PEAR进行不同时区的转换
- 如何用php生成WAP页面
- php:树形结构的算法 4
- php:树形结构的算法 3
- php:树形结构的算法 2
- php:树形结构的算法1
- apache 环境下 php 的配置
- php编写大型网站问题集
- php中文乱码问题及解决方法
- 草根的进化 PHP语言发展简史
- 测试 Apache Web 和 PHP 应用程序服务器
- 用php实现简单的滑动菜单
- php分页类
- 基于PHP和AJAX创建RSS聚合器
- PHP下一代的五个framework介绍
- 搜索引擎技术核心揭密(PHP版)
劣质的PHP代码简化
出处:互联网 整理: 软晨网(RuanChen.com) 发布: 2010-02-27 浏览: 31 ::
收藏到网摘: n/a
下面这一小段“劣质”的PHP代码是一道简化了的测试题。这种问题就像在问:你该怎样优化这段代码?
复制代码 代码如下:
<?
echo("<p>search results for query:").
$_GET['query'].".</p>";
?>
这段代码的主要问题在于它把用户提交的数据直接显示到了网页上,从而产生XSS漏洞。其实有很多方法可以填补这个漏洞。那么,什么代码是我们想要的呢?
复制代码 代码如下:
<?
echo("<p>search results for query:").
htmlspecialchars($_GET['query']).".</p>";
?>
这是最低要求。XSS漏洞用htmlspecialchars函数填补了,从而屏蔽了非法字符。
复制代码 代码如下:
<?php
if(isset($_GET['query']))
echo'<p>search results for query:',
htmlspecialchars($_GET['query'],ENT_QUOTES).'.</p>';
?>
能写出这样代码的人应该是我想要录用的人了:
*<?被替换成了<?php,这样更符合XML规范。
*在输出$_GET['query']值前先判断它是否为空。
*echo命令中多余的括号被去掉了。
*字符串用单引号限定,从而节省了PHP从字符串中搜索可替换的变量的时间。
*用逗号代替句号,节省了echo的时间。
*将ENT_QUOTES标识传递给htmlspecialchars函数,从而保证单引号也会被转义,虽然这并不是最主要的,但也算是一个良好的习惯
评论 (0) All
