我目前正在使用此代码在我的网站上显示错误:
<?php
$failure = strip_tags($_GET['failure']);
if($failure!=""){
echo '<div class="error">';
echo $failure;
echo '</div>';
}
?>
但是,我很好奇这是否安全.是吗?
虽然这个解决方案会改变你的方法,为什么不用这个结构的errors.php文件呢?
$error[1] = 'some error message';
$error[2] = 'some other error message';
$error[3] = '...'; // you get the point
只需发送一个ID作为错误:
somepage.php?failure=2
然后,在您通常显示错误的位置包含此代码:
if($_GET['failure'] && array_key_exists($_GET['failure'],$error) {
echo $error[$_GET['failure']];
}
只需确保在config.php文件中包含errors.php(或者您的主配置的文件名是什么).
为什么?
恕我直言,在这种情况下使用int比使用字符串要安全得多.
| 归档时间: |
|
| 查看次数: |
258 次 |
| 最近记录: |