3
PHP_SELF
当代码(例如echo $_SERVER['PHP_SELF']
)包含在内时,打开了一个XSS攻击页面,但怎么办?由于它不包含路径信息,因此可以安全使用吗?我知道你可以使用htmlentities
和其他类似的函数来清理,但我宁愿避免额外的函数调用。PHP_SELF和SCRIPT_NAME - XSS攻击版本
我敢肯定,这将是安全的使用,但我想多所社区:)
PHP_SELF
当代码(例如echo $_SERVER['PHP_SELF']
)包含在内时,打开了一个XSS攻击页面,但怎么办?由于它不包含路径信息,因此可以安全使用吗?我知道你可以使用htmlentities
和其他类似的函数来清理,但我宁愿避免额外的函数调用。PHP_SELF和SCRIPT_NAME - XSS攻击版本
我敢肯定,这将是安全的使用,但我想多所社区:)
作为好习惯,你应该总是防止任何从变量$ _ SERVER,$ _GET的定心丸,$ _POST等。
$str = filter_var($input, FILTER_SANITIZE_STRING);
一个简单的方法来清理字符串,或者你可以使用htmlentities。我从$ _SERVER,$ _GET和$ _POST返回任何变量时创建了一个类。