前面講到輸入過濾,現在談談輸出轉義
假設你把用戶輸入的記錄原封不動的保存到你的數據庫裏
如下代碼:
<script>
window.location.href='get.php?cookie='+document.cookie;
</script>
這樣,當其他用戶在訪問顯示該筆記錄的頁面時,頁面執行到該處,就會自動跳轉到
get.php,並且把當前USER所使用的COOKIE傳遞過來。
說到這裏,我想這時候的cookie就已經不是祕密了。相信很多程序都是把類似的密碼等存放到
cookie,如果密碼等重要信息不加密或者加密不嚴格,那該密碼就失去了意義了。
所以最好是在輸出的時候採用
htmlentities()函數把該筆記錄轉義後在echo出來。