我正在构建一个表单,用户可以将文件上传到我的服务器。上传脚本使用PHP并且安全,但我不确定我的表单操作的安全性。
目前我做的对提交如下:
<form id="apply" method="post" enctype="multipart/form-data" action="<?php echo htmlspecialchars($_SERVER['REQUEST_URI'], ENT_QUOTES, "utf-8"); ?>">
我读过关于XSS和$ _ SERVER数组以及如何使用用htmlspecialchars来保护它。
这够了吗?我应该做其他事吗?
,见好就收动作空白。 – datasage
REQUEST_URI包含请求的脚本和查询参数。如果你正在做一个POST请求,应该不需要在'action'中包含查询参数。 '$ _SERVER ['SCRIPT_NAME']'应该足够了。 –