我有一个输入字段,它接受表单中的字符串。提交表单后,它会保存到数据库中,并将输入的字符串附加回字段中。这是一个场景:
测试人员通过输入:<hello world>破解我的代码输出为:<hello world>所需输出应为:<hello world>
我设法通过使用htmlspecialchars_decode($form_data['val']); 解决了这个问题
现在,测试人员这次所做的是输入:null输出为:空白(空字符串)
我的解决方案是:
// not so efficient since he can always break my code by inputting: "NULL"
if($form_data['val'] === null) {
//problem here is when he input: "NULL"
$form_data['val'] = "null";
}
我想要一个基于用户输入内容的输出。这里唯一的问题是输入的NULL或NULL值。zzzz
if($form_data['val'] === 'null' or $form_data['val'] === '') {
$form_data['val'] = "null";
}
简单:
$form_data['val'] = (is_null($form_data['val']) || empty($form_data['val'])) ? 'null' : $form_data['val'];