※ 引述《iceworld (穿过去了)》之铭言：
: 小弟发文之后研究了一个晚上
: 爬国外资料发现php丢参数跟click()行为要搞在一起似乎是无解
: 于是我改从参数下手
: 逻辑跟前辈提供的类似
: 不过我是在php从数据库里面捞的时候顺便把$_GET的变量以id名丢给每个选项
: while($row = mysql_fetch_array(xx)){
: $li_row = sprintf(
: "<li><a href='test.php?id=%s' id='%s'>选项a</a></li>
: ...",
: $row['id'], $row['id'] );
: }
: 之后a选项就有了id=a、b选项有了id=b......依此类推
: html搞定后从jQuery下手：
: 引入能够取得get参数的jqury.url.min.js档案（上网查到的）
: 加在<script></script>里面的jQuery码只有两行：
: $(function(){
: var active = $.url.param('id');
: $("#" + active).addClass("active");
: })
: 改成这样后我原本需要的功能就可以达成了
: 提供这个方法给大家参考，也感谢许多热心的版友协助提供意见，谢谢！
今天在写其他的php页面时突然灵机一动
发现上面的方法根本就是脱裤子放屁
一开始只要在javascript里面直接把$_GET[]丢给变量去判断就好了
连什么引入jquery.url.min.js都不用
$(function(){
var active = <? echo mysql_real_escape_string(trim($_GET['id'])); ?>;
$("#" + active).addClass("active");
})
就大功告成了
提供给大家参考

不是用mysql real escape 就没有安全性问题吧 XD

网站网址给一下 版友会教你啥是XSS wwwwww

初学对安全性议题完全不了解阿！请问把$_GET直接丢给javascript是一件很危险的事情吗？ 我留$_GET主要只是想让页面可以被google或存入书签 请问更安全的作法该是什么另，网站开发安全有没有推荐的书或网站可以参考呢？

http://svr.wolfholo.ml/sec_tests/a.php.txt直接拿你上面的CODE来做示范http://ln.wolfholo.ml/XSS140227上面那网址就直接传了一个很有问题的id参数进去直接在网页里加载了一个JS档案http://svr.wolfholo.ml/sec_tests/a.js今天这JS只是废话后把网页转走如果今天JS做了其他事呢?这边基本上会建议还是用JS去拿参数JS里面处理参数 只要你没eval或是直接输出到页面它永远不会被解析

大受教！！（拜

印象中php可以直接把字串转成json，就可以避免执行了吧？

#1IpPtxT6 (PHP) <<< 防XSS要注意的事很多的避免PHP直接输出内崁的JS可以省掉不少事