<?php
echo $_GET['id'];
?>
对我来说看起来不太安全.. 展示GET
元素的最佳选择是什么?
preg_replace
所有特殊字符上都有类似的东西,或者htmlspecialchars
?
<?php
echo $_GET['id'];
?>
对我来说看起来不太安全.. 展示GET
元素的最佳选择是什么?
preg_replace
所有特殊字符上都有类似的东西,或者htmlspecialchars
?
取决于你在做什么$_GET['id'];
如果您希望将其插入数据库,只需使用Prepared Statements
. 【够了】
如果您只想在 HTML 页面上显示它,请使用此代码。
<?php
echo htmlentities($_GET['id']);
?>
<?php
echo htmlspecialchars($_GET['id']);
?>
htmlspecialchars() 如果它是一个字符串,或者如果它是数字则转换为适当的类型(intval() 或 (int) 等),例如:
$id = (int)$_GET['id'];
//or
echo (int)$_GET['id'];
如果是id
,我认为它应该是数字 - 然后echo intval($_GET['id']);
这应该足够了:
htmlspecialchars($_GET['id'], ENT_QUOTES, "UTF-8");