一尘不染

PHP_SELF和XSS

php

我发现有一篇文章声称$_SERVER['PHP_SELF']容易受到XSS攻击。

我不确定我是否理解正确,但是几乎可以肯定这是错误的。

这怎么容易受到XSS攻击!

<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
  <!-- form contents -->
</form>

阅读 335

收藏
2020-05-26

共1个答案

一尘不染

为了使其安全使用,您需要使用htmlspecialchars()

<?php echo htmlspecialchars($_SERVER["PHP_SELF"], ENT_QUOTES, "utf-8"); ?>
2020-05-26