我正在尝试获得有关此问题的帮助,因此 www.videocontractor.com 建立我的网站。我已经提出了这个问题,并就 freelancer.com 的必要代码征求了投标。那里的人告诉我,第三方确实有可能在我的网站上填写一个php表单,然后更新我的索引文件中的java代码。我不确定我是否相信他们。 从项目描述:
我希望在 www.videocontractor.com 和 www.photocontractor.com 上添加一个模块,使网站的访问者能够添加他们的业务列表。我不确定这是否可以做到。我希望网站访问者更新索引.html文件中的 javascript。我认为需要一个PHP解决方案。我对其他想法持开放态度。
这里有人可以告诉我是或否,如果我可以添加上面已经描述的功能?我应该研究是否有任何替代方案可以为我提供相同的最终结果。
https://www.freelancer.com/projects/PHP-Javascript/PHP-Java-for-business-directory.html
从您的描述中,您已经要求某人编写修改磁盘上的文件的代码。 虽然可以以安全的方式执行此操作,但我建议不要这样做。
我建议您改为将条目保存在数据库中,并根据请求动态生成资源。 请务必使用准备/参数化查询(PDO 具有此功能),并且在 HTML 上下文中输出的任何数据都使用 htmlspecialchars() 。 如果要将数据输出到 JavaScript 中,请使用 json_encode() 。 这将确保数据保持...数据,而不是执行代码。
这完全取决于您以后使用该表单做什么。如果您将其直接放入数据库查询中而不清理它,那么完全可以更改您的网站。他们也可以以这种方式使用MySQL注入,您可能会丢失整个数据库。
如果您想过滤他们在表单中写的内容,您可以使用strip_tags,然后添加斜杠,这将完全防止任何可能的损坏。