![](/img/trans.png)
[英]Difference between: $_SERVER['SCRIPT_NAME'] and $_SERVER['PHP_SELF']
[英]PHP_SELF and SCRIPT_NAME - XSS attacks edition
当包含echo $_SERVER['PHP_SELF']
等代码时, PHP_SELF
打开一个XSS攻击页面,但是SCRIPT_NAME
呢? 由于它不包含路径信息,这可以安全使用吗? 我知道你可以使用htmlentities
和其他类似的函数进行清理,但我宁愿避免额外的函数调用。
我很确定使用它会安全,但我想要SO社区的保证:)
作为良好的做法,你应该始终防止来自$ _SERVER,$ _GET,$ _POST等的任何变量。
$str = filter_var($input, FILTER_SANITIZE_STRING);
清理字符串的简单方法,或者您可以使用htmlentities。 我在从$ _SERVER,$ _GET和$ _POST返回任何变量时创建了一个类。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.