[英]PHP_SELF and SCRIPT_NAME - XSS attacks edition
當包含echo $_SERVER['PHP_SELF']等代碼時, PHP_SELF打開一個XSS攻擊頁面,但是SCRIPT_NAME呢? 由於它不包含路徑信息,這可以安全使用嗎? 我知道你可以使用htmlentities和其他類似的函數進行清理,但我寧願避免額外的函數調用。
我很確定使用它會安全,但我想要SO社區的保證:)
作為良好的做法,你應該始終防止來自$ _SERVER,$ _GET,$ _POST等的任何變量。
$str = filter_var($input, FILTER_SANITIZE_STRING);
清理字符串的簡單方法,或者您可以使用htmlentities。 我在從$ _SERVER,$ _GET和$ _POST返回任何變量時創建了一個類。
區別:$ _SERVER ['SCRIPT_NAME']和$ _SERVER ['PHP_SELF']
[英]Difference between: $_SERVER['SCRIPT_NAME'] and $_SERVER['PHP_SELF']
PHP_SELF vs PATH_INFO vs SCRIPT_NAME vs REQUEST_URI
[英]PHP_SELF vs PATH_INFO vs SCRIPT_NAME vs REQUEST_URI
$_SERVER['PHP_SELF'] 和 $_SERVER['SCRIPT_NAME'] 有什么區別?
[英]What's the difference between $_SERVER['PHP_SELF'] and $_SERVER['SCRIPT_NAME']?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.