增加這三行php代碼的安全性能和兼容性

2020-06-27 15:48:25

字體：大中小

供稿：網(wǎng)友

　　今天在sitepoint上看到一篇文章，其中有一段是介紹如何改進以下的這行php代碼。這段代碼經(jīng)常被他們用來測試應(yīng)聘者。
　　CODE:
　　<?
　　echo("<p>Search results for query: " .$_GET['query'] . ".</p>");
　　?>
　　我覺得這段代碼非常適合用來測試一個php開發(fā)人員是否合格。因為這段代碼并沒有要求太多記憶上的東西（例如函數(shù)的記憶），但是對安全，性能，兼容性上都做了考察。
　　大家也想想看如何改進代碼。我在后面給出修改后的代碼。
　　CODE:
　　<?php
　　if (isset($_GET['query']))
　　{
　　echo '<p>Search results for query: ',
　　htmlspecialchars($_GET['query'], ENT_QUOTES), '.</p>';
　　}
　　?>
　　改進的地方有：
　　把php短標簽(<?)換成了長標簽(<?php)，因為并非所有php環(huán)境都支持短標簽
　　增加判斷該全局變量是否存在，防止在某些環(huán)境下出現(xiàn)notice錯誤，而且在當前的例子里如果query無則沒必要輸出
　　把echo的”(”去掉，echo不是一個函數(shù)，沒必要使用“(”
　　把字符串兩邊的雙引號換成了單引號，提高了性能。因為雙引號里的內(nèi)容會被嘗試進行變量和轉(zhuǎn)義字符的解析。
　　對query這個get變量進行html過濾。防止輸出html，這可能會帶來包括xss在內(nèi)的一些危險
　　echo后面的字符串之間的間隔使用逗號而不是句號。因為句號之間的字符串會先被連接起來然后再輸出，而,號只是按順序輸出。在這個例子里顯然不需要先連接字符串。（這一點我平時倒沒太注意）

上一篇：自動識別WEB和WAP訪客的源碼

下一篇：文本框限制輸入