程序员经验分享-hwhale

PHP_SELF 和 XSS

2024-03-06

我发现一篇文章声称$_SERVER['PHP_SELF']容易受到 XSS 攻击。

我不确定我是否理解正确,但我几乎可以肯定这是错误的。

这怎么可能容易受到 XSS 攻击!?

<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
  <!-- form contents -->
</form>

为了使其安全使用,您需要使用htmlspecialchars() http://php.net/htmlspecialchars. 

<?php echo htmlspecialchars($_SERVER["PHP_SELF"], ENT_QUOTES, "utf-8"); ?>

See 我写过的几乎所有 PHP 表单中都存在 XSS 漏洞 http://www.webadminblog.com/index.php/2010/02/23/a-xss-vulnerability-in-almost-every-php-form-ive-ever-written/如何$_SERVER["PHP_SELF"]可以被攻击。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

php

Xss

PHP_SELF 和 XSS 的相关文章

  • Doctrine2:入门教程“没有要处理的元数据类”

    我已经将本教程的第一部分运行了三遍 到目前为止 在这里或其他地方进行的大量搜索都无法帮助我使其发挥作用 我收到 没有要处理的元数据类 当我尝试时 php vendor bin doctrine orm schema tool update

  • 如何更改 Ubuntu 14.04 上的 php-cli 版本?

    我是 Linux 新手 在篡改时破坏了一些 php 设置 如果我执行一个包含以下内容的 php 脚本 phpinfo 它显示 php 版本为 5 6 但通过命令行 如果我运行php v它返回 7 0 版本 我想让两个版本匹配 我怎样才能修复

  • 为什么 LinkedIn v2 Share API 在任何 v2/shares 端点上给出权限不足的错误?

    当我调用任何 v2 LinkedIn 共享 API 端点时 例如https api linkedin com v2 socialActions https api linkedin com v2 socialActions share UR

  • MySQL 最佳实践:SELECT 子递归尽可能提高性能?

    我想选择一个根项目及其子项 使其性能尽可能高 我更喜欢使用嵌套集模型 但这次表结构遵循邻接模型 有关嵌套集和邻接模型的更多信息 http mikehillyer com articles managing hierarchical data

  • php 或 zend 中国际电话号码验证的正则表达式是什么?

    我有一个 zend 表单 其中有一个电话号码字段 并且必须检查验证器 我决定为此使用正则表达式 我搜索了谷歌 但我得到的结果不起作用 谁能给我提供正则表达式 这是我的代码 phone new Zend Form Element Text p

  • 如何使用 PHP 从内容中查找 URL?

    需要一个简单的 preg match 它将在内容中查找 c aspx 不带引号 如果找到 它将返回整个 url 举个例子 content div 4 a href m c aspx mt 01 9310ba801f1255e02e411d8

  • PHP服务器端IAB验证openssl_verify总是返回0

    我使用以下函数 服务器端 php 来验证 IAB v3 事务 我从 Android 应用程序传递过来 Override protected void onActivityResult int requestCode int resultCo

  • Symfony 学说错误“DoctrineMigrationsBundle 需要启用 DoctrineBundle。”

    我创建了一个新的 Symfony 项目 并且不断收到此消息 DoctrineMigrationsBundle 需要启用 DoctrineBundle 错误并且无法摆脱它 显然我是这个星球上唯一一个收到此错误的人 因为谷歌并没有太大帮助 在

  • 如何将 .env 添加到 codeigniter?

    我尝试按照以下步骤使 php 连接到 Outlookhttps learn microsoft com en us outlook rest php tutorial https learn microsoft com en us outl

  • HTTP_REFERER 返回 NULL,$_SERVER 中不存在密钥

    使用以来第一次 SERVER HTTP REFERER 它给了我NULL因此 当我做var dump SERVER the HTTP REFERER密钥不存在 我还尝试使用不同的浏览器和不同的网站访问网站 但没有结果 该网站在基于 Linu

  • .htaccess 在动态文件夹名称中加载索引

    我在 htaccess 加载动态文件夹名称中的索引时遇到问题 这是我的目录结构 root products gt this is constant folder name 而不是使用 GET 获取产品 url root products i

  • Lumen 微框架 => php artisan key:generate

    我正在尝试 PHP 微框架 Lumen 来自 Laravel 我的第一步就是调查 env example文件并复制一份以供我使用 env文件 就像 Laravel 中一样 有一个变量 APP KEY 现在我尝试了简单的命令php artis

  • 返回上一页

    我正在使用表格来 评价 页面 此表单将数据 发布 到其他地方的 php 脚本 我只是想在处理表单后显示一个链接 这将使用户返回到上一页 我可以在 php 脚本中使用 javascript 来执行此操作吗 GF 您可以使用链接来调用histo

  • PHP OOP 静态属性语法错误 [关闭]

    这个问题不太可能对任何未来的访客有帮助 它只与一个较小的地理区域 一个特定的时间点或一个非常狭窄的情况相关 通常不适用于全世界的互联网受众 为了帮助使这个问题更广泛地适用 访问帮助中心 help reopen questions 为什么不

  • 将单独的月、日和年值转换为时间戳

    我有月份值 1 12 日期值 1 31 和年份值 2010 2011 2012 我还有一个小时值和一个分钟值 我怎样才能把这个给strtotime 它可以以某种方式将其转换为时间戳吗 当您已经知道年月和日期时 为什么将字符串转换为日期 us

  • 如何编写可以补偿拼写错误数据的 MySQL 搜索?

    有没有什么方法可以编写一个 MySQL 搜索来弥补用户在拼写等方面的错误 作为随机示例 有人可能会输入 电子邮件受保护 cdn cgi l email protection代替 电子邮件受保护 cdn cgi l email protect

  • 打印表数据mysql php

    我在尝试打印表格的一些数据时遇到问题 我是 php mysql 的新手 但我认为我的代码是正确的 这里是 h1 Lista de usu rios h1

  • Magento 设置脚本中的 ALTER TABLE 不使用 SQL

    乔纳森 戴 https stackoverflow com users 336905 jonathan day says 更新不应采用以下形式 SQL命令 我没遇到过 任何 DDL 或 DML 语句不能 通过 Magento 的配置执行 结

  • 使用 PHP 创建图表并导出为 PDF

    我正在寻找有关使用 PHP 创建图表的建议 我还希望能够将这些图表导出到 PDF 文档 我目前正在使用谷歌图表 但我不喜欢将我的所有信息发送到谷歌的想法 我更喜欢自己的托管解决方案 我见过很多 Flash 解决方案 但我不知道有什么方法可以

  • 准备好的语句需要 0 个参数,给定 1 个参数..,使用 php 手册示例 [重复]

    这个问题在这里已经有答案了 我直接从 php 手册示例中获取了这个 它几乎与我需要的相同 但我仍然收到此错误 有人可以告诉我我错过了什么吗 stmt link gt prepare SELECT obitBody Photo FROM tn

随机推荐

  • PHP 数组——方括号与大括号($array[$i] 与 $array{$i})

    正如我最近了解到的 myArray index 在 PHP 中相当于 myArray index 这在上提到过PHP docs http php net manual en language types array php 我还在这里发现了

  • 了解外部函数接口 (FFI) 和语言绑定

    混合不同的编程语言长期以来一直是我不太理解的事情 根据这篇维基百科文章 http en wikipedia org wiki Foreign function interface Operation of an FFI 外部函数接口 或 F

  • C++20 概念:约束规范化

    这是 C 20 标准 ISO IEC 14882 2020 第 13 5 4 节 温度 施工 正常 https eel is c draft temp constr normal 第 1 段 强调我的 概念 ID C 的范式是约束表达式在每

  • 总和除值问题(处理舍入误差)

    我有一款售价 4 欧元的产品 我需要将这笔钱分给 3 个部门 在第二列中 我需要获取该产品的行数并除以部门数 我的查询 select department totalvalue totalvalue select count from de

  • Android 中的 CreateFromStream 对于某些 url 返回 null

    public class TestButton extends Activity Called when the activity is first created ImageButton imgBtn Override public vo

  • 真实示例,其中 std::atomic::compare_exchange 与两个 memory_order 参数一起使用

    你能给出一个真实的例子 其中两个 memory order 参数版本std atomic compare exchange使用是有原因的 因此一个 memory order 参数版本不够 在许多情况下 第二个内存排序参数compare ex

  • 如何将18位色深表示为16位色深?

    我正在移植一个从 16 位颜色深度构建到 18 位颜色深度的软件 如何将 16 位颜色转换为 18 位颜色 谢谢 在不了解设备的情况下 我只能推测 设备通常是红色 绿色 蓝色 因此每种颜色都会有 6 位变化 这意味着每种颜色有 64 种变体

  • Windows Live OAuth 访问 Xbox Live 信息

    因此 我正在开发一个网站 我希望用户能够使用他们的 Xbox 帐户登录 将他们的玩家标签链接到我的网站 我可以这样使用 oauth 但是 我不知道如何获得 xbox live 权限 其他执行此操作的网站具有如下权限 如何获得此权限以允许我从

  • 多立柱VS大容量立柱?

    我有一个这样的表 table A id short text long text int 11 varchar 200 text lt type Note1 始终是其中之一sort text or long text is NULL 它们永

  • java.lang.VerifyError 函数调用的对象参数不兼容

    在编写一些 java 代码时 我遇到了一个我无法识别的异常 即 java lang VerifyError 一些谷歌搜索表明这通常是一个 jvm javac 错误 我很好奇我的情况是否如此 我怀疑的线路是 private Pair

  • 如何确定 html 视频元素的预期帧速率

    有没有办法确定 html 视频元素中播放内容的预期帧速率 视频元素是否知道预期的 FPS 或帧数 还是只是 猜测 可能是 24fps 并以猜测的速度播放 以下是我不成功的尝试 在视频元素本身上查找 FPS 或 FrameCount 属性 不

  • 在 Powershell 中模拟使用 WindowsIdentity 引发 FileNotFoundException

    我在 PowerShell 和 C 中执行模拟时遇到了一些奇怪的错误 执行以下代码不会出现任何错误 PSObject result null using PowerShell powershell PowerShell Create Run

  • Swift objc_getAssociatedObject 总是 nil

    我正在尝试将属性与数组扩展相关联 private var AssociatedObjectHandle String BlaBLabla extension Array var emptyIndex Int mutating get if

  • 如何获取网络上 2 个文件夹内的所有文件之间的差异?

    所以我想比较这个文件夹 http cloudobserver googlecode com svn branches v0 4 Boost Extension Tutorial libs boost extension http cloud

  • 扩展 TYPO3 femanager

    有人有一个如何在 TYPO3 8 7 上扩展 femanager 3 3 0 的工作示例吗 我创建了一个新的扩展来完成所有的事情 fe user TCA Partials 的新数据库字段 我在 femanager 插件中有新字段 可以为前端

  • 如何使用 numpy.all() 或 numpy.any()?

    我试图在 2D numpy 数组中搜索特定值 get above 方法返回字符 initial char 上方的坐标列表 def get above current wordsearch list of current coords get

  • 在Python函数中返回变量无法正常工作[重复]

    这个问题在这里已经有答案了 我一直在尝试在变量中返回函数中的变量并在其外部使用它 test 0 def testing test 1 return test testing print test 但是当我运行它时 结果是0 我该如何解决这个

  • SQLAlchemy 中是否有 LISTAGG Within GROUP 等效项?

    这是一个简单的 Oracle 表 food person pizza Adam pizza Bob pizza Charles ice cream Donald hamburger Emma hamburger Frank 以下是我想做的聚

  • numpy任意精度线性代数

    我有一个 numpy 2d 数组 中 大尺寸 比如说 500x500 我想找到它的元素指数的特征值 问题是某些值非常负 800 1000 等 并且它们的指数下溢 意味着它们非常接近零 因此 numpy 将它们视为零 无论如何可以在 nump

  • PHP_SELF 和 XSS

    我发现一篇文章声称 SERVER PHP SELF 容易受到 XSS 攻击 我不确定我是否理解正确 但我几乎可以肯定这是错误的 这怎么可能容易受到 XSS 攻击

热门标签