客户端是否有可能以某种方式修改PHP超全局变量,特别是$ _SERVER - 可能不是常见的方式?
换句话说,这段代码是否安全:
if (($this->error->getCode()) == '404') {
ob_clean();
echo @file_get_contents("http://".$_SERVER['SERVER_NAME'].'/404.html');
}
这段代码很好 - SERVER_NAME无法修改.需要注意的是$_SERVER['PHP_SELF']或者$_SERVER['REQUEST_URI'],作为用户可以在地址栏中添加一些js - 如果这些j被写入屏幕,则应该小心地将其转义.
你的代码很好.
| 归档时间: |
|
| 查看次数: |
533 次 |
| 最近记录: |