2
我剛剛意識到,對於一些奇怪的情況,我正在做我認爲是自我提交的內容,而沒有在動作表單屬性上引用PHP_SELF。
我很納悶,我們或者可以使用
<?php echo filter_var($_SERVER['PHP_SELF'], FILTER_SANITIZE_STRING); ?>
或者
action=""
?
如果不是,我們應該在什麼情況下考慮這個或另一個?
由於提前, MEM
A
回答
3
您可以使用(PHP_SELF或空字符串)。但爲什麼你會爲此使用FILTER_SANITIZE_STRING?在這種情況下,如果您的路徑包含過濾後的字符(例如<),則最好使用htmlentities()而不是filter_var,表單將不會提交。
我更喜歡給一個字符串,<base href=>使用空值時可能會造成麻煩。 例子:
<form action="<?php echo htmlentities($_SERVER['PHP_SELF']);?>" method="post">
</form>
0
如果我沒有記錯的Safari瀏覽器有/有與後者的問題,所以我用它丟棄。
-1
請不要不使用PHP_SELF,因爲這也可以/index.php/"><script>alert(1)</script>/。
它經常用於XSS攻擊。
改爲使用索引SCRIPT_NAME代替! SCRIPT_NAME將始終指向實際的PHP文件,而不是用戶輸入。
問候
編輯:
兩個人指出,在使用時mod_rewrite的SCRIPT_NAME是行不通的。這是錯誤的,我認爲這些人應該在他們投票回答之前閱讀。
這是一個測試場景爲你***:
$ cat .htaccess
RewriteEngine On
RewriteRule testme/ /testmenot.php
$ cat testmenot.php
<? echo $_SERVER['SCRIPT_NAME']; ?>
$ GET hostname/testme/
/testmenot.php
$_SERVER['REQUEST_URI']秉着 「/ TESTME /」,我想這些人會在SCRIPT_NAME預料。但是也可以在PHP_SELF中找到而不是。
/我穿越手指
:電子
+0
-1,SCRIPT_NAME不適用於重寫的URL。如果您檢查得很好,可以使用PHP_SELF。 – Lekensteyn 2010-09-01 16:59:11
+0
@Jan:filter_var或htmlentities沒有處理? – MEM 2010-09-01 16:59:19
+0
'$ _SERVER ['SCRIPT_NAME']'不適用於重寫的URL:s。如果在解析請求後接收頁面重定向,則XSS不是問題。 – chelmertz 2010-09-01 17:00:06
-1
<?php
session_start();
$msg = '';
if (isset($_POST['login']) && !empty($_POST['username'])
&& !empty($_POST['password'])) {
if ($_POST['username'] == 'abc' &&
$_POST['password'] == 'xyz') {
$_SESSION['valid'] = true;
$_SESSION['timeout'] = time();
$_SESSION['username'] = 'abc';
?>
<script type="text/javascript">
location.href="index.php"
</script>
<?php
}
else
{
$msg ='Invalid username or password';
}
}
?>
<form
action ="<?php echo htmlspecialchars($_SERVER['PHP_SELF']);
?>" method = "post">
<input type = "text" class = "form-control"
name = "username" placeholder = "username"
required autofocus ></br>
<input type = "password" class = "form-control"
name = "password" placeholder = "password" required>
<input class="button" type = "submit" name = "login" value="Log in"/>
相關問題
- 1. php首先執行表單action =「<?php echo $ _SERVER ['PHP_SELF'];?>
- 2. PHP_SELF問題表單提交
- 3. 已提交表單的進度條($ _SERVER [「PHP_SELF」])
- 4. 提交表單$ _SERVER ['PHP_SELF']而在jquery div顯示()
- 5. 過濾PHP的$ _SERVER ['PHP_SELF']
- 6. 表單提交Unkown Action?
- 7. PHP - 提交表單
- 8. $ _SERVER ['PHP_SELF']不起作用?
- 9. 如何保護$ _SERVER ['PHP_SELF']?
- 10. PHP echo $ _SERVER ['PHP_SELF']添加變量?
- 11. Zend框架1提交表單url/action
- 12. HTML表單提交
- 13. 自動提交HTML表單自PHP
- 14. 計$ _SERVER [ 「PHP_SELF」]漏洞利用
- 15. HTML表單提交給自我
- 16. $ _SERVER ['PHP_SELF']無法正常工作
- 17. PHP我的表單不會提交
- 18. 在PHP表單提交中設置Cookie?
- 19. 使用php echo時的SQL語法錯誤$ _SERVER ['PHP_SELF'];
- 20. 自動php表單提交使用javascript
- 21. 提交表單
- 22. PHP Ajax調用導航到表單上的Action頁面提交
- 23. PHP表單提交
- 24. PHP表單 - 未定義常量'PHP_SELF'
- 25. 使用PHP_SELF提交表單時,它將重定向到哪個URL(MVC)?
- 26. 如何提交表單散列或自
- 27. 表單不提交HTML php
- 28. 回到php表單並自動提交
- 29. 未設置表單提交按鈕
- 30. 將HTML表單dissepear後提交
爲什麼一個而不是另一個,你能詳細說明一下嗎?非常感謝。 – MEM 2010-09-01 16:56:07
路徑名中的字符'<'將被過濾,資源將無法訪問。 – Lekensteyn 2010-09-01 17:00:47
這個答案至少缺少'ENT_QUOTES'。我真的不明白這一點 - 爲什麼不使用空字符串?逃避所有可能的輸入往往不是微不足道的,但使用空字符串是。 – eis 2015-02-15 08:51:48