如何保护$ _SERVER ['PHP_SELF']？

Question

如何保护$ _SERVER ['PHP_SELF']？

我使用下面的代码来控制分页.它正在使用,$_SERVER['PHP_SELF']所以我想知道它是否以这种方式安全,或者我需要做些什么来$_SERVER['PHP_SELF']保证安全？

<?php 

    if($rows > 10) {
        echo '<a id=nex href="'.$_SERVER['PHP_SELF'].'?pg='.($startrow+10).'">
        Next</a>';
    } 

    $prev = $startrow - 10;

    if ($prev >= 0) {
        echo '<a id=pex href="'.$_SERVER['PHP_SELF'].'?pg='.$prev.'">
        Previous</a>';
    }

?>

Run Code Online (Sandbox Code Playgroud)

Answer 1

alg*_*net 9

您应该使用filter_input:http://php.net/filter_input

$phpSelf = filter_input(INPUT_SERVER, 'PHP_SELF', FILTER_SANITIZE_URL);

Run Code Online (Sandbox Code Playgroud)

然后使用$phpSelf而不是$_SERVER['PHP_SELF'].

这比htmlspecialchars使用http://htmlpurifier.org/这样的工具更好,但理想的解决方案是

Answer 2

小智 9

要防止XSS攻击,您应该使用htmlspecialchars()或filter_input()转义$_SERVER['PHP_SELF'].有关详细信息,请参阅此问题.

另请注意,如果启动href带有?和不带路径的属性,浏览器会将后续查询字符串附加到当前请求,就像相对链接会附加到同一目录一样.

我假设你正在消毒$prev和$startrow其他地方.数学比较应该使它们安全,但是如果它们来自$ _GET,那么intval()在你做任何其他事情之前运行它们是个好主意.

归档时间：	14 年前
查看次数：	10242 次
最近记录：	14 年前