-1

我的网站上有一个表单,它从文本区域获取输入,如果它是空的 (strlen = 0) 则以一种方式处理它,如果它有文本则另一种方式处理它。这是表格的一部分:

<form name='contact' action='contact.php' method='post'>
    ...
    Message*<br />
    <textarea name='msg' rows='10' cols='70' maxlength='2048'><?php echo $msg ?></textarea><br />
    ...
    <input type='submit' value='Send!' id='subby' name='fatk' style='height:60px; width:300px;' />
</form>

现在 PHP 代码:

$msg = isset($_POST['msg'])?safeString($_POST['msg']):'';
$msg = substr($msg,0,2048);
if (strlen($msg) == 0)
    echo "<h1>Test failed</h1>";
else { ... }

这是safestring(str)方法:

function safeString($str) {
    htmlentities($str);
    htmlspecialchars($str);
}

每次我提交表单时,无论我在 msg textarea 中输入多少或多少,它总是说它是空的(通过回显 TEST FAILED)。另外,你知道我应该在我的safestring()函数中添加什么以使我的表单更安全吗?

4

1 回答 1

4

没有safeString.

除此之外,它的safeString作用是多余的(htmlentities是 的超集htmlspecialchars,后者起到了防止 XSS 的作用)。

最后,你真的应该在接受输入时进行这种清理,而应该只在产生输出时进行。

放在一起,你的代码应该看起来更像

$msg = isset($_POST['msg']) ? $_POST['msg'] :'';
if ($msg == '')
    echo "<h1>Test failed</h1>";
else {
    echo "Received value: ".htmlspecialchars($msg);
}

您还应该明确指定输入的编码(参见 的第三个参数htmlspecialchars)。

于 2012-06-30T16:56:03.230 回答