HTML為標籤式語法, 一般多用兩個雙引號( " )
資料庫的存取,是可以存取雙引號( " )
且沒有SQL INJECTION(SQL資料隱碼攻擊)的問題
以一個文字框的HTML碼來看
<input type="text" value="abc">
這樣的敘述是不會有問題的
若資料如右: "abc"
產生將如下:
<input type="text" value=""abc"">
看出問題了嗎?
如標紅色字的樣子
value=""abc""
對HTML標籤來看 value="" 空白, 後面的敘述不會表示出來
所以在處理資料的部份
防止SQL Injection 之外
還要注意到最好將"特殊符號"轉成HTML定義識別碼
如: 空白=>
雙引號(") => "
PHP的撰寫者, 可以使用 htmlspecialchars(內容) , 會自動轉換
ASP的撰寫者, 可以使用 Server.HTMLencode(內容)
若以上語法上有勘誤, 還請指教, 謝謝!!
留言
張貼留言