辽软软件,立足辽宁 服务东北 发展软件产业,人工智能+聊天软件解决方案
(文章来源互联网,基于程序云采编服务自动发布,删除请联系: )
xecute([$mydomain]); // --- 查询3: 获取新闻内容 (高风险注入点已修复) --- // 原来的代码直接拼了 $nid,这是极其危险的。 // 现在我们将 $mydomain 和 $nid 都做参数绑定,黑客即使传 '1 or 1=1' 也没用 $newsStmt = $pdo->prepare("SELECT `title`, `content` FROM `domain_news` WHERE `domain` = ? AND `nid` = ? ORDER BY `nid` DESC LIMIT 0, 1"); $newsStmt->execute([$mydomain, $nid]); $newsRow = $newsStmt->fetch(); if ($newsRow) { $newstitle = $newsRow['title']; // 注意:如果 news 表的 content 本身存的是 HTML,则直接覆盖上面域名的 content $content = $newsRow['content']; } } catch (PDOException $e) { // 数据库出错时的处理,避免泄露密码等敏感信息 // 可以在这里记录日志: error_log($e->getMessage()); die("系统繁忙,请稍后再试。"); } // ========================================== // 5. 页面渲染部分 // ========================================== // 构建 Page Title // 使用 htmlspecialchars 防止 XSS 注入到 标签中 $pageTitle = htmlspecialchars($newstitle) . ' - ' . htmlspecialchars($display_domain); // 载入头部 // 假设 header.php 里会用到 $pageTitle 变量 include_once( dirname( __FILE__ ) . '/header.php' ); ?> <!-- Main jumbotron --> <div class="jumbotron"> <div class="container"> <!-- 防御 XSS:标题通常是纯文本,需要转义 --> <h1></h1> </div> </div> <div class="container"> <div class="container"> <div class="row" style="margin:20px 0px 20px 0px;"> <div class="col-md-12"> <!-- 注意:Content 也就是新闻正文通常包含 HTML (p, br, img等), 所以这里不进行转义,保留原样输出。 前提是你确信数据库里的 content 字段没有恶意脚本 (XSS)。 --> 辽软软件,立足辽宁 服务东北 发展软件产业,人工智能+聊天软件解决方案 </div> <div class="col-md-12"> <div style="text-align:right"> (文章来源互联网,基于程序云采编服务自动发布,删除请联系:<img src="/images/mail_miduobao.gif" alt="contact email"> ) </div> </div> </div> </div> </div> <div class="col-md-12"> <div style="text-align:right"> (文章来源互联网,基于程序云采编服务自动发布,删除请联系:<img src="/images/mail_miduobao.gif" alt="contact email"> ) </div> </div> </div> </div> </div>