[火爆热烈讨论中......] PHP参数提交入口问题

z33

原帖由 hitty 于 2005-11-20 15:05 发表


可能并没有什么大不了，但不免人家会贴出这样的
恶作剧：


http://www.shippingchina.com/?package=biz&module=message&'><script scr='..........'></script><'

没有任何影响，我不明白恶作剧在哪里？
在ＵＲＬ上加<script>标签这样的字符串也完全不会有问题，也不会有任何影响。也没有什么不好的，不是么？


另外你说的：

>你的站点使用了 $_SERVER['QUERY_STRING']  参数，这不是一个好方法.....

没有用到$_SERVER，我是统一处理$_GET和$_POST进行过滤的。

所以我觉你说的是完全没有道理的。

hitty

原帖由 z33 于 2005-11-20 18:07 发表



没有任何影响，我不明白恶作剧在哪里？
在ＵＲＬ上加<script>标签这样的字符串也完全不会有问题，也不会有任何影响。也没有什么不好的，不是么？


另外你说的：

>你的站点使用了 $_SERVER ...

好像没有过滤吧....更何况这和$_POST和$_GET没有关系啊.....

那你打开下面的URL就可以说明一定是用到了....

1. 
   
2. http://www.shippingchina.com/?package=biz&module=message&'>111111111111</a><'
   

复制代码

[ 本帖最后由 hitty 于 2005-11-21 08:23 编辑 ]

z33

原帖由 hitty 于 2005-11-21 08:21 发表



好像没有过滤吧....更何况这和$_POST和$_GET没有关系啊.....

那你打开下面的URL就可以说明一定是用到了....
[code]
http://www.shippingchina.com/?package=biz&module=message&'>11111111 ...

>好像没有过滤吧....更何况这和$_POST和$_GET没有关系啊.....

呵呵，全部过滤的，如果你说没过滤请给出理由，不要无凭无据的乱说。


>那你打开下面的URL就可以说明一定是用到了....

哦。。。我大概明白你的意思了。。。。呵呵
这个URL不是很正常么？为什么说“打开下面的URL”？？

这样的URL：http://www.shippingchina.com/?package=biz&
等于这样的：http://www.shippingchina.com/index.php?package=biz&
这点常识你不知道吗？真晕，只是普通的QueryString，用$_GET就能得到，我为什么要用$_SERVER["QUERY_STRING"]？？？

hitty

原帖由 z33 于 2005-11-21 10:05 发表


>好像没有过滤吧....更何况这和$_POST和$_GET没有关系啊.....

呵呵，全部过滤的，如果你说没过滤请给出理由，不要无凭无据的乱说。


>那你打开下面的URL就可以说明一定是用到了....

哦。。。 ...

我是说你看看这个页面底下的分页.....

1. 
   
2. http://www.shippingchina.com/?package=biz&module=message&'>111111111111</a><'
   

复制代码

$_GET如何得到 QueryString

其实我想知道你的单接口是怎么返回所有的$_GET中的, key=value 这样一个 QueryString 到下个页面的，并且不包含无效的 $_GET  ....

[ 本帖最后由 hitty 于 2005-11-21 11:40 编辑 ]

z33

>其实我想知道你的单接口是怎么返回所有的$_GET中的, key=value 这样一个 QueryString 到下个页面的，并且不包含无效的 $_GET

没听明白你这句的意思？
返回所有的$_GET？是什么意思？
不包含无效的$_GET是什么意思？

dualface

关于这个问题，我多说了两句

http://bbs.chinaunix.net/viewthr ... &extra=page%3D1

powerpolly

plog源码可以说明所讨论的问题，建议大家去看看。

115300111

其实没那必要，
小一点程序可以那样做，