不要在模板中使用{$_GET.id}或者{$Think.get.id} - ThinkPHP框架

不要在模板中使用{$_GET.id}或者{$Think.get.id}

浏览：8143 发布日期：2013/10/22 分类：技术分享关键字：模板 XSS I方法过滤

{$_GET.id} {$Think.get.id} 这两种方式都没有任何过滤，容易被XSS。
建议使用I方法，{:I('get.id')}

建议官方默认都htmlentities一下。
或者更新一下手册：http://doc.thinkphp.cn/manual/system_var.html

最佳答案

评论（）相关

后面还有条评论，点击查看>>

mengjinpeng0 07-20
模板css路径正确，tp6显示为丢失样式。
ln0911 06-05
thinkphp6 模板如如何动态调取值并循环使用
sanler 01-12
如何把模板文件都直接放在模板目录根文件夹
yan8950040 01-07
mysql字段INT,模板switch标签无法对比判断
liapples 10-05
模板标签同时使用默认值和函数，为什么提示出错？

我们

合作

网站

信息

ThinkPHP 是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架，创立于2006年初，遵循Apache2开源协议发布，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，也注重易用性。并且拥有众多的原创功能和特性，在社区团队的积极参与下，在易用性、扩展性和性能方面不断优化和改进，已经成长为国内最领先和最具影响力的WEB应用开发框架，众多的典型案例确保可以稳定用于商业以及门户级的开发。

沪ICP备12007941号-2