使用超级全局$_SERVER['PHP_SELF']有什么好处?
【问题讨论】:
$PHP_SELF,请关闭寄存器全局变量:)
标签: php superglobals
$_SERVER['PHP_SELF'] 不(或不应该)包含域名。它包括调用脚本的 url 的路径组件。
它的用途主要是引入跨站脚本漏洞。
你可以用它来填写表单标签的action属性:
<form method="post" action="<?=$_SERVER['PHP_SELF']?>"></form>
如果我随后调用您的页面:
your-file-that-uses-php-self.php/("><script>eval-javascript-here</script>)
parens 中的所有内容都是 urlencoded,然后我可以将代码注入您的页面。如果我将该链接发送给其他人,那么我正在他们的浏览器中从您的站点执行该代码。
编辑:
为了防止 XSS 攻击,请使用htmlspecialchars:
<form method="post" action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>">...</form>
编辑 2: 由于这个 $_SERVER 变量在互联网上的示例中经常被滥用,所以不要错过阅读您的 HTML 参考:因为该 URI 是最短的相对 URI ,您可以将 action 属性留空:
<form action="" method="post" >...</form>
【讨论】: