[英]PHP $_SERVER['HTTP_HOST'] escaping, does this look acceptable?
我正在學習逃避的事情,並開始閱讀由於XSS攻擊而使用$_SERVER['HTTP_HOST']會有多大風險。
我想出了這個,並想知道我是否可以得到一些關於我的嘗試的反饋。
htmlspecialchars(
filter_var( $_SERVER[ 'HTTP_HOST' ], FILTER_SANITIZE_URL ),
ENT_QUOTES, 'UTF-8'
)
看起來好嗎?
這么多取決於這個變量是安全的,我只需要求輸入。
編輯:
我將在整個網站上使用它進行顯示,包括基本的錨點hrefs,表單動作等。
這取決於你想要用什么。 如果要顯示它,請使用htmlspecialchars。 如果要將其用作數據庫查詢,則可以在mysql的情況下使用mysql_real_escape_string。 (或准備好的陳述)
不同的轉義函數應該用於不同的情況,例如:
urlencode用於將放在<a>標簽中的查詢字符串中的項目,即。 echo '<a href="index.php?foo=' . urlencode($foo) . '">'; (另見http_build_query ) mysql_real_escape_string用於SQL語句中的變量(雖然我更喜歡綁定變量) htmlentities ,可能包含HTML(另請參閱strip_tags )
安全的php主機名信息 - $ _SERVER ['HTTP_HOST']替代方案
[英]secure php host name information - $_SERVER['HTTP_HOST'] alternative
無法在php mail()中使用變量$ _SERVER ['HTTP_HOST']
[英]Cannot use variable $_SERVER['HTTP_HOST'] in php mail()
在PHP中,$ _ SERVER ['HTTP_HOST']的Perl等價於什么?
[英]What is the Perl equivalent of $_SERVER['HTTP_HOST'] in PHP?
JSP或JavaScript等效於PHP的$ _SERVER [“HTTP_HOST”]?
[英]JSP or JavaScript equivalent to PHP's $_SERVER[“HTTP_HOST”]?
Apache代理Lighttpd:在PHP中更改$ _SERVER ['HTTP_HOST']
[英]Apache proxy to Lighttpd: changing $_SERVER['HTTP_HOST'] in php
在Chrome中,基於$ _SERVER ['HTTP_HOST']的PHP加載CSS失敗
[英]PHP load CSS based on $_SERVER['HTTP_HOST'] fails in Chrome
PHP中的HTTP_HOST和SERVER_NAME有什么區別?
[英]What is the difference between HTTP_HOST and SERVER_NAME in PHP?
還有PHP的$ _SERVER ['HTTP_HOST'])的替代方法嗎? 適用於不需要完整的編程語言(例如SSI)的Apache
[英]Is there an alternative to PHP's $_SERVER['HTTP_HOST']); for apache that does not require a full blown programming language (e.g. SSI)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.