PHP跨站脚本

假设我们的一张名为 "test_form.php" 的页面中有如下表单:

">

现在,如果用户进入的是地址栏中正常的 URL:"http://www.example.com/test_form.php",上面的代码会转换为:


不过,如果用户在地址栏中键入了如下 URL:

http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

在这种情况下,上面的代码会转换为:


通过使用 htmlspecialchars() 函数能够避免 $_SERVER["PHP_SELF"] 被利用

">

你可能感兴趣的:(PHP跨站脚本)