不要在模板中使用{$_GET.id}或者{$Think.get.id}

浏览:7788 发布日期:2013/10/22 分类:技术分享 关键字: 模板 XSS I方法 过滤
{$_GET.id} {$Think.get.id} 这两种方式都没有任何过滤,容易被XSS。
建议使用I方法,{:I('get.id')}

建议官方默认都htmlentities一下。
或者更新一下手册:http://doc.thinkphp.cn/manual/system_var.html
最佳答案
评论( 相关
后面还有条评论,点击查看>>