我正在尝试获取并编写一个作为搜索查询结果出现的自定义单词。
例如,在这种情况下,单词是"test"(搜索了单词test):http://www.mialias.net/?s=test&lang=es
我试图把它放在WordPress页面上的文本上,就像这样:
<h2>Search results for:</h2><h3>test</h3>
知道如何获取它并使用 PHP 编写它吗?
这两个答案在技术上都是正确的。在这两者中,_GET美元是最好的方法。
请不要这样做。
在输出中使用未经过滤的 $_GET['s'] 会在页面中创建一个漏洞,几乎任何开发人员都可以利用该漏洞。他们需要做的就是在URL上传递正确构建的有效负载,然后就可以使您的页面执行任意代码。使用 filter_var() 函数在显示字符串之前对其进行清理。
filter_var()
http://php.net/manual/en/function.filter-var.php
过滤器的类型
http://php.net/manual/en/filter.filters.php
消毒过滤器
http://php.net/manual/en/filter.filters.sanitize.php
这是代码:
<?php
$filterd_s = filter_var($_GET['s'],FILTER_SANITIZE_STRING);
?>
. . . Skipping stuff here . . .
<h2>Search results for:</h2><h3>test <?php echo $filtered_s; ?></h3>
这将安全地显示变量。如果用户传入一些不好的东西,你可能会看到一些奇怪的东西,但它不会造成伤害。
呵呵,
=C=
您可以使用请求
<h2>Search results for:</h2><h3>test <?php echo $_REQUEST['s']; ?></h3>