人可以帮我加入用htmlspecialchars防止XSS在此代码:用htmlspecialchars在PHP
<?PHP
if(isset($_POST['update'])) {
$ts=$_POST['ts'];
$user=$_POST['user'];
mysql_query("UPDATE users SET block_newfriends='". mysql_real_escape_string($ts). "' WHERE username='" .mysql_real_escape_string($user) . "'");
echo '<div class="rounded-container">';
echo '<div class="rounded-green rounded-done">';
echo '<b>reload</b><br>';
echo '</div>';
echo '</div>';
}
?>
我不知道往哪里放他们,这应该是在开机自检功能吧?
XSS预防措施通常发生在未输入的信息输出上。但是,如果你想确保这两个post值在输入到数据库时没有html chars,你可以通过htmlspecialchars传递它们。 – MarkSkayff
是啊我想要做那个标记,但是你知道我怎样才能将它们添加到我的脚本中吗?我不确定把它们放在哪里。 – IbraDigga
$ ts = htmlspecialchars($ _ POST ['ts']);并且对于用户变量相同。 – MarkSkayff