我有使用PHP自我提交的任何表单提交。对于行动URL我有两种方式:
<form action=""> $_SERVER["PHP_SELF"]。哪种方式更好更安全?
答案 0 :(得分:7)
不要指望非标准行为,这是当浏览器在未指定表单操作时将表单提交到同一页面时发生的行为。始终清晰简洁,以避免不可预见的问题。特别是当所有这一切都在你的掌控之中时。
答案 1 :(得分:1)
第三种选择可能是最好的:制作表单的页面应该知道自己的url,所以输入它。 @johnconde在论证中是正确的,不依赖于非标准行为,但你提供的替代方案并不是更好:你希望用户没有做某事(或被欺骗做某事)意外。
随机链接:http://www.dzhang.com/blog/2013/05/20/php_self-and-cross-site-scripting解释了这一点。
最好只知道您的页面,并回显您正在查看的实际页面。