php代码安全：增加这三行php代码的安全，性能和兼容性

如何改进以下的这行php代码：

<?
echo("<p>Search results for query: " .$_GET['query'] . ".</p>");
?>

 我觉得这段代码非常适合用来测试一个php开发人员是否合格。因为这段代码并没有要求太多记忆上的东西（例如函数的记忆），但是对安全，性能，兼容性上都做了考察。

 

改进后的代码:

 

<?php
if (isset($_GET['query']))
{
  echo '<p>Search results for query: ',
      htmlspecialchars($_GET['query'], ENT_QUOTES), '.</p>';
}
?>

 说明：

 

1、把php短标签(<?)换成了长标签(<?php)，因为并非所有php环境都支持短标签

2、增加判断该全局变量是否存在，防止在某些环境下出现notice错误，而且在当前的例子里如果query无则没必要输出

3、把echo的”(”去掉，echo不是一个函数，没必要使用“(”

4、把字符串两边的双引号换成了单引号，提高了性能。因为双引号里的内容会被尝试进行变量和转义字符的解析 。

5、对query这个get变量进行html过滤。防止输出html，这可能会带来包括xss在内的一些危险

 

echo后面的字符串之间的间隔使用逗号而不是句号。因为句号之间的字符串会先被连接起来然后再输出，而,号只是按顺序输出。在这个例子里显然不需要先连接字符串。

评论

1 楼 化蝶自在飞 2010-11-07  

小中见大.