昨年做的一个留言板，上线第二天就有人留言里塞了段 script 标签。

我当时还纳闷，这用户怎么打了一串乱码？直到打开后台，页面自动跳转到了一个奇怪的广告站，我才反应过来：哦，被 XSS 了。

修复很简单，输出的时候 htmlspecialchars 转义一下。但后怕的是，如果那段脚本不是跳转广告，而是偷我后台的 Cookie，我登录态就被盗了。

现在每个输入框都默认不信任用户。用户输入的任何东西，先当有毒处理，再决定要不要放行。

安全这东西，没出事的时候觉得多余，出事了才知道后悔。

—— 2026.6.13