标签: php html forms xss code-injection
许多文档建议在表单提交期间使用htmlspecialchars()来删除数据注入。 form-validation
使用html5(我猜)不使用表单的动作属性,使用$_SERVER["PHP_SELF"]产生类似的效果。无动作形式是否也会产生相同的安全漏洞?
$_SERVER["PHP_SELF"]
答案 0 :(得分:1)
没有。如果您使用无效的表单,则不要使用 $ _ SERVER [" PHP_SELF"] ,这样就安全了。