我发现有一篇文章声称$_SERVER['PHP_SELF']容易受到XSS攻击。
$_SERVER['PHP_SELF']
我不确定我是否理解正确,但是几乎可以肯定这是错误的。
这怎么容易受到XSS攻击!
<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>"> <!-- form contents --> </form>
为了使其安全使用,您需要使用htmlspecialchars()。
htmlspecialchars()
<?php echo htmlspecialchars($_SERVER["PHP_SELF"], ENT_QUOTES, "utf-8"); ?>