PHP_SELF 和 SCRIPT_NAME - XSS 攻击版本

发布于 2024-11-27 22:00:48 字数 234 浏览 0 评论 0原文

当包含 echo $_SERVER['PHP_SELF'] 等代码时，PHP_SELF 会打开一个容易遭受 XSS 攻击的页面，但是 SCRIPT_NAME 又如何呢？由于它不包含路径信息，因此使用安全吗？我知道您可以使用 htmlentities 和其他类似的函数来清理，但我宁愿避免额外的函数调用。

我很确定它可以安全使用，但我希望 SO 社区能够保证:)

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

み青杉依旧 2024-12-04 22:00:48

作为良好的实践，您应该始终防止来自 $_SERVER、$_GET、$_POST 等的任何变量。

$str = filter_var($input, FILTER_SANITIZE_STRING);

这是清理字符串的简单方法，或者您可以使用 htmlentities。我创建了一个类，在从 $_SERVER、$_GET 和 $_POST 返回任何变量时使用该类。

As good practice, you should always protect against any variables from $_SERVER, $_GET, $_POST etc.

$str = filter_var($input, FILTER_SANITIZE_STRING);

A simple way to sanitize a string, or you can use htmlentities. I create a class that I use when returning any variables from $_SERVER, $_GET and $_POST.

回复收藏 0 原文

~没有更多了~