好吧,我是一个总新手,并不知道在哪里把修剪功能放在开发人员为客户创建的代码上。当前窗体在任何撇号之前放置“\”,并且我使用了Google解决方案并试图在文件中放置函数,但是我所做的每件事都打破了客户的窗体。任何帮助表示赞赏。适当修剪功能
目前的结构是:
$dd_description = $_POST['dd_description'];
和形式审查页:
Description:<strong> '. $dd_description .'</strong><br />
我似乎无法在什么地方“微调”
出于安全原因,不建议只允许未分析的POST变量出现在用户网页上。
您是否曾尝试在代码中添加stripslashes()?
Description:<strong> '. stripslashes($dd_description) .'</strong><br />
我建议进一步确保输入数据,也许至少包裹strip_tags。
谢谢。再一次,这么简单。我曾试过一个全球性的striplashes功能,但它不起作用。没有太多的领域可以追加这个,它工作得很好。我知道它必须是一个简单的解决方案,但我仍然对这些微妙的变化感到陌生,并且不断用不必要的引号和括号将其复杂化。 –
好的,在这种情况下可能值得做这样的事情。 [code] foreach($ _ POST为$ key => $ val){ $ _POST [($ key)] = stripslashes($ val); } [/ code] – RefreshCarts
我曾尝试过,但它没有奏效。我很可能没有把这个功能放在正确的位置上。至于“不推荐”评论,我知道这个表单是由开发人员为客户构建的。我现在正在接手,但并不合格。我肯定会研究这一点,以确保它最初建造的方式没有任何问题。它通过幕后的一个functions.php文件进行。 –
自动转义单引号建议Magic Quotes处于打开状态。 Here's how to disable Magic Quotes。
魔术引号可能会保护您的SQL查询免受SQL注入,因此需要对其进行适当调查。如果是这种情况,则建议将代码转换为预准备语句,这些语句不需要SQL注入的任何字符串处理。
不确定你的意思,但你可以尝试类似'str_replace('\','',$ dd_description)''去除'\'。听起来好像它已经通过一个函数来传递输出。您应该小心如何删除它们,以免直接将用户输入打印到页面上,因为这可能会导致XSS漏洞。 – Mikey
这是由另一个人为客户开发的。我现在处于一个略微凌驾于我头上的角色,但我会研究这一点,看看你是否陷入了漏洞。谢谢! –