3
PHP_SELF当代码(例如echo $_SERVER['PHP_SELF'])包含在内时,打开了一个XSS攻击页面,但怎么办?由于它不包含路径信息,因此可以安全使用吗?我知道你可以使用htmlentities和其他类似的函数来清理,但我宁愿避免额外的函数调用。PHP_SELF和SCRIPT_NAME - XSS攻击版本
我敢肯定,这将是安全的使用,但我想多所社区:)
A
回答
2
作为好习惯,你应该总是防止任何从变量$ _ SERVER,$ _GET的定心丸,$ _POST等。
$str = filter_var($input, FILTER_SANITIZE_STRING);
一个简单的方法来清理字符串,或者你可以使用htmlentities。我从$ _SERVER,$ _GET和$ _POST返回任何变量时创建了一个类。
相关问题
- 1. 跨站点脚本攻击(xss)攻击
- 2. PHP_SELF和XSS
- 3. 防止Javascript和XSS攻击
- 4. AJAX XSS攻击和.Net MVC
- 5. Meteor.js和CSRF/XSS攻击
- 6. 旧版网站易受XSS攻击
- 7. 防止XSS攻击
- 8. XSS攻击防护
- 9. 防止XSS攻击
- 10. XSS攻击防范
- 11. 之间的差异:$ _ SERVER [ 'SCRIPT_NAME']和$ _ SERVER [ 'PHP_SELF']
- 12. XSS脚本攻击攻击 - >无法调用javascript
- 13. 跨站点脚本攻击XSS
- 14. Json.Net Wrapper防止Xss攻击
- 15. XSS DOM易受攻击
- 16. XSS在wordpress中的攻击?
- 17. 防止xss攻击/注入
- 18. CakePHP的:防止XSS攻击
- 19. angularjs防止XSS攻击
- 20. 检测DOM XSS攻击
- 21. 如何避免XSS攻击
- 22. URL中的XSS攻击
- 23. XSS攻击ASP.NET网站
- 24. 解密此XSS攻击
- 25. XSS攻击得到可变
- 26. html()vs innerHTML jquery/javascript和XSS攻击
- 27. $ _SERVER ['REQUEST_URI'] - 防止XSS和其他攻击
- 28. 防止SQL注入和XSS攻击
- 29. 浏览器URL编码XSS攻击是否易受攻击?
- 30. Chrome扩展程序,内容脚本和XSS攻击