-1

我正在尝试就这个问题寻求帮助,从而建立我的网站 www.videocontractor.com。我已经提出了这个问题,并在 freelancer.com 上征求了对必要代码的投标。那里的人告诉我,第三方确实有可能在我的网站上填写一个 php 表单,然后更新我的索引文件中的 java 代码。我不确定我是否相信他们。从项目描述:

我希望在 www.videocontractor.com 和 www.photocontractor.com 上添加一个模块,使网站的访问者能够添加他们的业务列表。我不确定这是否可以做到。我希望站点访问者更新 index.html 文件中的 javascript。我认为需要一个 PHP 解决方案。我对其他想法持开放态度。

如果我可以添加上面已经描述的功能,这里有人可以告诉我是或否吗?有没有我应该研究的替代方案可以为我提供相同的最终结果。

https://www.freelancer.com/projects/PHP-Javascript/PHP-Java-for-business-directory.html

4

2 回答 2

1

根据您的描述,您已要求某人编写修改磁盘上文件的代码。虽然可以以安全的方式执行此操作,但我建议不要这样做。

我建议您将您的条目保存在数据库中,并根据请求动态生成资源。请务必使用准备好的/参数化查询(PDO 具有此功能),并且您在 HTML 上下文中输出的任何数据都使用htmlspecialchars(). 如果要将数据输出到 JavaScript,请使用json_encode(). 这将确保数据只是……数据,而不是可能的执行代码。

于 2013-09-14T16:21:04.807 回答
-2

这完全取决于您稍后使用该表格做什么。如果您将其直接放在对数据库的查询中而不对其进行清理,那么完全有可能更改您的网站。他们也可以通过这种方式使用 MySQL 注入,您可能会丢失整个数据库。

如果您想过滤他们在表单中写的内容,您可以使用 strip_tags 并在此之后添加斜杠,这将完全防止任何可能的损坏。

于 2013-09-14T16:16:18.520 回答