我还应该逃避吗? $_GET 和 XSS、SQL 注入和其他 PHP 安全问题
如果我使用 $_GET 从 URL 字符串检索数据,并且不将该数据显示回网页上或使用它执行任何 SQL 操作,我是否仍应考虑使用转义、正则表达式和其他安全代码?该字符串可以包含任何字符。
希望这是有道理的。
If I am retrieving data with $_GET from the URL string and not displaying that data back on a webpage or doing any SQL actions with it, should I still consider using escape, regular expression and other security code? The string could contain any char.
Hope that makes sense.
如果您不输出字符串或将其传递给另一个程序(sql、打开文件等),则无需转义它。
if you are not outputting the string or passing it to another program (sql, open file, …) you don't need to escape it.