[英]PHP $_SERVER['HTTP_HOST'] escaping, does this look acceptable?
我正在学习逃避的事情,并开始阅读由于XSS攻击而使用$_SERVER['HTTP_HOST']会有多大风险。
我想出了这个,并想知道我是否可以得到一些关于我的尝试的反馈。
htmlspecialchars(
filter_var( $_SERVER[ 'HTTP_HOST' ], FILTER_SANITIZE_URL ),
ENT_QUOTES, 'UTF-8'
)
看起来好吗?
这么多取决于这个变量是安全的,我只需要求输入。
编辑:
我将在整个网站上使用它进行显示,包括基本的锚点hrefs,表单动作等。
这取决于你想要用什么。 如果要显示它,请使用htmlspecialchars。 如果要将其用作数据库查询,则可以在mysql的情况下使用mysql_real_escape_string。 (或准备好的陈述)
不同的转义函数应该用于不同的情况,例如:
urlencode用于将放在<a>标签中的查询字符串中的项目,即。 echo '<a href="index.php?foo=' . urlencode($foo) . '">'; (另见http_build_query ) mysql_real_escape_string用于SQL语句中的变量(虽然我更喜欢绑定变量) htmlentities ,可能包含HTML(另请参阅strip_tags )
安全的php主机名信息 - $ _SERVER ['HTTP_HOST']替代方案
[英]secure php host name information - $_SERVER['HTTP_HOST'] alternative
无法在php mail()中使用变量$ _SERVER ['HTTP_HOST']
[英]Cannot use variable $_SERVER['HTTP_HOST'] in php mail()
在PHP中,$ _ SERVER ['HTTP_HOST']的Perl等价于什么?
[英]What is the Perl equivalent of $_SERVER['HTTP_HOST'] in PHP?
JSP或JavaScript等效于PHP的$ _SERVER [“HTTP_HOST”]?
[英]JSP or JavaScript equivalent to PHP's $_SERVER[“HTTP_HOST”]?
Apache代理Lighttpd:在PHP中更改$ _SERVER ['HTTP_HOST']
[英]Apache proxy to Lighttpd: changing $_SERVER['HTTP_HOST'] in php
在Chrome中,基于$ _SERVER ['HTTP_HOST']的PHP加载CSS失败
[英]PHP load CSS based on $_SERVER['HTTP_HOST'] fails in Chrome
PHP中的HTTP_HOST和SERVER_NAME有什么区别?
[英]What is the difference between HTTP_HOST and SERVER_NAME in PHP?
还有PHP的$ _SERVER ['HTTP_HOST'])的替代方法吗? 适用于不需要完整的编程语言(例如SSI)的Apache
[英]Is there an alternative to PHP's $_SERVER['HTTP_HOST']); for apache that does not require a full blown programming language (e.g. SSI)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.