$_SERVER['PHP_SELF']和htmlentities结合使用解决代码注入
解决方法:
解决$_SERVER[’PHP_SELF’]的安全隐患,主要有以下2种方式:
1、htmlentities
用htmlentities($_SERVER[’PHP_SELF’])来替代简单的$_SERVER[’PHP_SELF’],这样即使网址中包含恶意代码,也会被“转换”为用于显示的html代码,而不是被直接嵌入html代码中执行。
2、REQUEST_URI
用$_SERVER[’REQUEST_URI’]来替代$_SERVER[’PHP_SELF’],$_SERVER[’REQUEST_URI’]获取的是全部请求路径,$_SERVER[’PHP_SELF’]获取的请求路径没有参数。
本文链接:http://www.yayihouse.com/yayishuwu/chapter/1755