0
使用超级全球$_SERVER['PHP_SELF']的好处是什么?
A
回答
14
$_SERVER['PHP_SELF']没有(或不应该)包含域名。它包含脚本被调用的url的路径组件。
它的用途主要是介绍跨站点脚本漏洞。
,你可以用它来填表标签的action属性:
<form method="post" action="<?=$_SERVER['PHP_SELF']?>"></form>
如果我再打电话给你的页面:
your-file-that-uses-php-self.php/("><script>eval-javascript-here</script>)
这里的一切在括号中url编码,然后我可以将代码注入您的页面。如果我将该链接发送给其他人,那么我将在您的网站的浏览器中执行该代码。
编辑: 为了使其安全免受XSS攻击,使用htmlspecialchars:
<form method="post" action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>">...</form>
编辑2:由于这$_SERVER变量已经被整个互联网络滥用,所以经常在那里的例子,唐不要错过阅读您的HTML参考资料:由于该URI是最短的相对URI,因此您可以将action属性留空:
<form action="" method="post" >...</form>
+10
我喜欢这个部分*它的用途主要是介绍跨站点脚本漏洞* ...让我的最后一个今天得到满足! – alex 2010-08-10 06:32:01
+0
这就是为什么我切换到.NET进行Web开发的一部分。 :) – 2010-08-10 06:44:12
+6
很明显,.Net是很好的证明。 – 2010-08-10 06:48:52
相关问题
- 1. PHP中$ _SERVER超级全局的来源是什么?
- 2. 过滤PHP的$ _SERVER ['PHP_SELF']
- 3. $ _SERVER ['PHP_SELF']的替代选择是什么?
- 4. 如何保护$ _SERVER ['PHP_SELF']?
- 5. 计$ _SERVER [ “PHP_SELF”]漏洞利用
- 6. $ _SERVER ['PHP_SELF']不起作用?
- 7. $ _SERVER ['PHP_SELF']返回什么?在Laravel中获得平庸行为
- 8. PHP echo $ _SERVER ['PHP_SELF']添加变量?
- 9. 比较变量$ _SERVER ['PHP_SELF']的安全使用情况吗?
- 10. $ _SERVER ['PATH_INFO']和$ _SERVER ['ORIG_PATH_INFO']有什么区别?
- 11. 超级类型子类型表有什么好处
- 12. 使用php echo时的SQL语法错误$ _SERVER ['PHP_SELF'];
- 13. 全局变量有什么不好?
- 14. 为什么是$ _FILES超级全局总是空
- 15. 在php中使用匿名函数有什么好处?
- 16. $ _SERVER ['PHP_SELF']无法正常工作
- 17. 为什么全局$ _SERVER数组占用13倍的内存?
- 18. 什么是读取PHP $ _REQUEST超全局的安全方法?
- 19. 在父母,超级和基类在PHP中有什么不同?
- 20. php首先执行表单action =“<?php echo $ _SERVER ['PHP_SELF'];?>
- 21. 使用类型安全的集合类有什么好处?
- 22. 可以$ _FILES超级全局在
- 23. 分离php和html有什么好处?
- 24. 使用提取的PHP超全球植物有什么风险?
- 25. 使用Python类有什么好处吗?
- 26. 使用sessionStorage有什么好处?
- 27. 使用ExecutorService有什么好处?
- 28. 使用JDBC模板有什么好处?
- 29. 使用oozie包有什么好处?
- 30. 为JCE使用fips有什么好处?
我不知道你在问什么。 – rook 2010-08-10 06:22:02
没关系,如果你不知道PHP。 – proyb2 2010-08-10 06:30:11
请注意,如果您正在使用'$ PHP_SELF',关闭注册全局变量:) – alex 2010-08-10 06:30:57