PHP_SELF等代码时, echo $_SERVER['PHP_SELF']会打开一个XSS攻击页面,但SCRIPT_NAME呢?由于它不包含路径信息,这可以安全使用吗?我知道你可以使用htmlentities和其他类似的函数进行清理,但我宁愿避免额外的函数调用。
我很确定使用它是安全的,但我想要SO社区的保证:)
答案 0 :(得分:2)
作为良好的做法,你应该始终防止来自$ _SERVER,$ _GET,$ _POST等的任何变量。
$str = filter_var($input, FILTER_SANITIZE_STRING);
清理字符串的简单方法,或者您可以使用htmlentities。我在从$ _SERVER,$ _GET和$ _POST返回任何变量时创建了一个类。