我只是在帖子列表提取帖子内容,用数据库操作手册的方法就存在xss吗?

2018-12-27 06:30:11 执着(班班号码:44725212 | 分类:插件 | 浏览291次
我只是在帖子列表提取帖子内容,用数据库操作手册的方法就存在xss吗?

这样就存在了吗:$var = DB::fetch_all("SELECT authorid,message FROM ".DB::table('forum_post')." WHERE first = 1 and tid in(".$tids.") ORDER BY `tid` DESC");
2018-12-28 10:07:42
提问者采纳
不太明白您具体想要表达的意思,请进一步详细描述,以便我们更好的回答!

班班学院院长(班班号码:1000,来自:班班学院

执着(班班号码:44725212)发表于 2019-1-4 12:36
我是直接在帖子列表用插件的方式查询帖子的内容,然后用循环的方式载入模板去输出,这样可以实现但是他说存在xss注入漏洞。我也不明白一个在帖子列表的查询就可以产生这个漏洞吗? 
班班学院院长(班班号码:1000发表于 2019-1-31 14:09
如果只是查询按说不会产生注入漏洞,您可以检查下是不是其他问题!