[英]Difference between: $_SERVER['SCRIPT_NAME'] and $_SERVER['PHP_SELF']
[英]PHP_SELF and SCRIPT_NAME - XSS attacks edition
當包含echo $_SERVER['PHP_SELF']
等代碼時, PHP_SELF
打開一個XSS攻擊頁面,但是SCRIPT_NAME
呢? 由於它不包含路徑信息,這可以安全使用嗎? 我知道你可以使用htmlentities
和其他類似的函數進行清理,但我寧願避免額外的函數調用。
我很確定使用它會安全,但我想要SO社區的保證:)
作為良好的做法,你應該始終防止來自$ _SERVER,$ _GET,$ _POST等的任何變量。
$str = filter_var($input, FILTER_SANITIZE_STRING);
清理字符串的簡單方法,或者您可以使用htmlentities。 我在從$ _SERVER,$ _GET和$ _POST返回任何變量時創建了一個類。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.