我只是在帖子列表提取帖子内容,用数据库操作手册的方法就存在xss吗?

2018-12-27 06:30:11 执着(班班号码:44725212 | 分类:插件 | 浏览107次
我只是在帖子列表提取帖子内容,用数据库操作手册的方法就存在xss吗?

这样就存在了吗:$var = DB::fetch_all("SELECT authorid,message FROM ".DB::table('forum_post')." WHERE first = 1 and tid in(".$tids.") ORDER BY `tid` DESC");

按默认排序| 按时间排序

其他1条回答

2018-12-28 10:07:42
班班学院院长 班班院长(班班号码:1000,来自:班班学院 | TA的头衔:管理团队
不太明白您具体想要表达的意思,请进一步详细描述,以便我们更好的回答!
执着发表于 2019-1-4 12:36
我是直接在帖子列表用插件的方式查询帖子的内容,然后用循环的方式载入模板去输出,这样可以实现但是他说存在xss注入漏洞。我也不明白一个在帖子列表的查询就可以产生这个漏洞吗?