我正在构建一个表单,用户可以将文件上传到我的服务器。上传脚本是PHP的,并且是安全的,但我不确定我的表单操作有多安全。
目前我在提交时执行以下操作:
<form id="apply" method="post" enctype="multipart/form-data" action="<?php echo htmlspecialchars($_SERVER['REQUEST_URI'], ENT_QUOTES, "utf-8"); ?>">
我已经阅读了有关XSS和$ _SERVER数组以及如何使用htmlspecialchars来保护它。
这够了吗?我应该做些什么吗?
答案 0 :(得分:5)
只需使用action="",它就会POST到当前页面。
答案 1 :(得分:1)
直接使用$ _SERVER ['REQUEST_URI']值并不安全,即使您使用htmlspecialchars