[英]PHP_SELF and SCRIPT_NAME - XSS attacks edition
当包含echo $_SERVER['PHP_SELF']等代码时, PHP_SELF打开一个XSS攻击页面,但是SCRIPT_NAME呢? 由于它不包含路径信息,这可以安全使用吗? 我知道你可以使用htmlentities和其他类似的函数进行清理,但我宁愿避免额外的函数调用。
我很确定使用它会安全,但我想要SO社区的保证:)
作为良好的做法,你应该始终防止来自$ _SERVER,$ _GET,$ _POST等的任何变量。
$str = filter_var($input, FILTER_SANITIZE_STRING);
清理字符串的简单方法,或者您可以使用htmlentities。 我在从$ _SERVER,$ _GET和$ _POST返回任何变量时创建了一个类。
区别:$ _SERVER ['SCRIPT_NAME']和$ _SERVER ['PHP_SELF']
[英]Difference between: $_SERVER['SCRIPT_NAME'] and $_SERVER['PHP_SELF']
PHP_SELF vs PATH_INFO vs SCRIPT_NAME vs REQUEST_URI
[英]PHP_SELF vs PATH_INFO vs SCRIPT_NAME vs REQUEST_URI
$_SERVER['PHP_SELF'] 和 $_SERVER['SCRIPT_NAME'] 有什么区别?
[英]What's the difference between $_SERVER['PHP_SELF'] and $_SERVER['SCRIPT_NAME']?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.