PHP如何避免 $_SERVER["PHP_SELF"] 被黑客利用

$_SERVER["PHP_SELF"]是超级全局变量，返回当前正在执行脚本的文件名，与 document root相关。

当黑客使用跨网站脚本的HTTP链接来攻击时，$_SERVER["PHP_SELF"]服务器变量也会被植入脚本。原因就是跨网站脚本是附在执行文件的路径后面的，因此$_SERVER["PHP_SELF"]的字符串就会包含HTTP链接后面的JavaScript程序代码。

---

如何避免：

$_SERVER["PHP_SELF"] 可以通过 htmlspecialchars() 函数来避免被利用。

htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。

& （和号） 成为 &

" （双引号） 成为 "

' （单引号） 成为 '

< （小于） 成为 <

> （大于） 成为 >

---

例子：

if ($_SERVER["REQUEST_METHOD"] == "POST")

{

if (empty($_POST["name"]))  //空值处理

{

$nameErr = "名字是必须的";

}

else

{

$name = myInput($_POST["name"]);

}

//接收数据并处理和赋值

$email = myInput($_POST["email"]);

$website = myInput($_POST["website"]);

$comment = myInput($_POST["comment"]);

$gender = myInput($_POST["gender"]);

}

//处理数据

function myInput($data)

{

$newData = trim($data);  //去除空格和换行

$newData = stripslashes($data); //去除反斜杠

$newData = htmlspecialchars($data);  //转义函数

return $newData; 

}

然后就OK啦，感觉萌萌哒（懵懵哒）~