电商plus6

电商plus6
1、什么是xss攻击，如何防御(初级)
概念：
XSS（Cross Site Scripting），即跨站脚本攻击，是一种常见于web应用程序中的计算机安全漏洞.XSS通过在用户端注入恶意的可运行脚本，若服务器端对用户输入不进行处理，直接将用户输入输出到浏览器，然后浏览器将会执行用户注入的脚本。
举例： 有一个input输入框，需要用户输入名字，用户却输入一个恶意脚本， ， 或者用户输入一个HTML在标签中嵌入恶意脚本，如src，href，css style等.
如：
防御：（好多种情况，这里只说最简单的） 其恶意脚本都是来自用户的输入。因此，可以使用过滤用户输入的方法对恶意脚本进行过滤。
获取用户输入，不用.innerHTML，用innerText。
对用户输入进行过滤，例如 将’&’，’"’，’<’，’>‘转化为’&’, ‘"’, ‘<’, ‘>’ 这就是将html代码转化成了实体

2、Html实体的转化
(1)php htmlspecialchars()、htmlentities()函数将特殊字符转换为HTML实体
(2)htmlspecialchars_decode() 函数把一些预定义的 HTML 实体转换为字符。
(3)PHP中htmlentities和htmlspecialchars的区别
这两个函数的功能都是转换字符为HTML字符编码，特别是url和代码字符串。防止字符标记被浏览器执行。使用中文时没什么区别,但htmlentities会格式化中文字符使得中文输入是乱码 htmlentities转换所有的html标记,htmlspecialchars只格式化& ’ " < >这几个特殊符号

3、Tp5.1中关于查询的方法
①find 查询一条数据
②select 查询多条数据
③column 查询一列数据
④value 查询一个值

4、jquery知识
(1)什么是样式类
一个class类 类上边有样式
(2)增加样式类 移除样式类
addclass removeclass
(3)获取、设置 纯文本 html代码 值
对象.text() 对象.text(‘新值’)
对象.html() 对象.html(‘新值’)
对象.val() 对象.val(‘新值’)
(4)找节点
父节点 parent 祖先元素parents
子节点children 后代元素 find
上一个兄弟节点prev 下一个兄弟节点next
所有兄弟节点 siblings
(5)$(this)
$(this)为当前操作的元素