-4
我存储形式以及形式处理脚本,JavaScript验证脚本,并在数据库形式CSS,我使用eval()
为PHP代码,所以我的问题是这样做我需要去htmlspecialchars()
,htmlentities()
?我是否需要消毒的代码,如果正在使用eval()
使用mysqli_real_escape_string()
和nl2br()
反正我和雅不提醒我有关如何使用eval()
安全或eval
是evil
等等等等,那不是关心这里的事情是,如果我不使用htmlspecialchars
或htmlentities
的HTML会因为它已被张贴在数据库中,如<
将是<
而不是<
所以我需要使用这些功能,或者在这种情况下它们并不是真正需要的吗?
如果你不使用其中的一个有很大的XSS漏洞。那么,实际上已经有一个名为“eval”的安全漏洞。 – Leri
@PLB只有系统管理员将访问代码,所以没有XSS的问题,看我的问题,我说不要提醒我有关的安全性,用户输入不会被执行,只有系统管理员将明显这样做 –
你不关心编写健壮的代码,那么为什么你不试一试,看看有什么作用?如果它不起作用,那么你会得到一个错误。继续尝试,直到它工作,你会得到你的答案。 –