php安全 - php现在是不是自带过滤的？

问题描述

问 题

原生php，在照着网上做一些安全防范的例子。(有点旧了2012的)
有个js脚本注入的，我在数据数据库里输入无限alert的一个脚本，发现，查询结果无法显示出来，空白的，其他html标签能够正确显示的，比如，h1标签。
然后试了下，只要有

<script

几个字就无法显示，是php自带的过滤吗？还是说是浏览器的过滤= =
顺求哪里可以系统的学习下php安全防范的比较新的。。

echo"<hr>";
echo"<h1>客户端脚本植入</h1>";
$sql2="select username from check_member where uid=1";
$query2=mysqli_query($con,$sql2);
if($query2){
    echo"success<br>";
    $query2=mysqli_fetch_assoc($query2);
    // echo htmlspecialchars($query2['username']);
    echo $query2['username'];
}else{
    echo "failed";
}

然后数据库username字段里是

<script>while(1){alert();}</script>

是在这个网站的第三篇学习的 内容有点久远了

解决方案

没有做任何处理从数据库直接拿出来 <script>alert(123);</script> 绝对会执行的。刚试过。

贴出你的代码吧少年

这篇关于php安全 - php现在是不是自带过滤的？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！