PHP $ _SERVER ['HTTP_HOST']转义，这看起来可以接受吗？

我刚刚了解逃脱的事情，并开始阅读如何使用由于XSS攻击导致的$_SERVER['HTTP_HOST']风险。

我想出了这个问题，并想知道我的尝试是否能得到一些反馈。

htmlspecialchars(
    filter_var($_SERVER[ 'HTTP_HOST' ], FILTER_SANITIZE_URL), 
    ENT_QUOTES, 'UTF-8' 
)

它看起来好吗？

这很大程度上取决于这一个变量是安全的，我只是要求输入。

编辑：

我会用这显示整个网站，包括基本的锚HREF中，表单动作等

2009-09-22 Jeff

不同逸出功能应当用于不同的情况，例如：

urlencode为将在查询字符串在<a>标签，即，被丢弃的物品。 echo '<a href="index.php?foo=' . urlencode($foo) . '">';（见http_build_query）
mysql_real_escape_string变量在SQL语句中去（虽然我更喜欢绑定变量）
htmlentities您要显示给用户的字符串，这可能有内HTML（见strip_tags）

2009-09-22 20:05:25

这取决于你想用什么做的。如果你想显示它，请使用htmlspecialchars。如果您想用作数据库查询，那么在mysql的情况下可以使用mysql_real_escape_string。（或准备的语句）

2009-09-22 19:35:37 erenon

回答