为什么htmlspecialchars在'PHP_SELF'上工作而在表单帖子上不在'REQUEST_URI'上？

I write

http://www.mysite.com/form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

on URL. Now I press enter and the URL is:

http://www.mysite.com/form.php/"><script>alert('hacked')</script>

Now I post the form. When using $_SERVER['PHP_SELF'], htmlspecialchars works, with REQUEST_URI not. Why?

When and why should I use action="" or action=<?=$_SERVER['PHP_SELF']?> or action=<?=$_SERVER['REQUEST_URI']?>?

Here the result of the posts:

$_SERVER['REQUEST_URI']:
  /form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

htmlspecialchars($_SERVER['REQUEST_URI']):
  /form.php/%22%3E%3Cscript%3Ealert(&#039;hacked&#039;)%3C/script%3E

$_SERVER['PHP_SELF']:
  /form.php/"><script>alert('hacked')</script>

htmlspecialchars($_SERVER['REQUEST_URI']):
  /form.php/&quot;&gt;&lt;script&gt;alert('hacked')&lt;/script&gt;

I think, the second should also be as the last...?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
douhuan1380 2014-01-19 08:08
关注
It sounds like you're confusing htmlspecialchars with urlencode.

htmlspecialchars replaces characters with special meaning in HTML with &-escaped entities. So, for example, ' becomes '. It doesn't turn %22 into ", however, because %22 has no special meaning in HTML, so it's safe to display it without modification.

urlencode replaces characters with special meaning in URLs with hexadecimal character codes using %. So, for example, " becomes %22.

If you want a form to be handled by the same URL that is used to display it, always use action="" rather than action=<?=$_SERVER['PHP_SELF']?> or action=<?=$_SERVER['REQUEST_URI']?>. As you've already figured out, there are serious risks of cross-site scripting (XSS) if you use either of the $_SERVER variables, because they contain user input and therefore cannot be trusted. So, unless you have a good reason that you need to tweak the URL somehow, just use action="".

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

为什么htmlspecialchars在'PHP_SELF'上工作而在表单帖子上不在'REQUEST_URI'上？ php
2014-01-19 04:29

回答 1 已采纳 It sounds like you're confusing htmlspecialchars with urlencode. htmlspecialchars replaces chara
使用PHP_SELF和php验证的html表单 - 提交后，结果显示在新页面上而不显示表单 html php
2015-08-12 02:07

回答 2 已采纳 <?php $servername = "localhost"; $username = "root"; $password = ""; $dbname = "xyz_database";
为什么我不必再次在SELECT上重新获取表单数据？ mysql php
2018-03-15 09:44

回答 2 已采纳 htmlspecialchars converts a string of text into a format suitable for inserting into an HTML docum
php怎么开启%3c%3e,PHP中的$_SERVER(PHP_SELF)
2021-04-29 06:27

威不群的博客复习PHP表单时，在教程中看到这个问题，然后了解一下。先来说说这个超级全局变量吧其实我觉得这个变量还蛮有意思的。$_SERVER[“PHP_SELF”]是超级全局变量，返回当前正在执行脚本的文件名，与 document root相关。...
仅使用PHP在同一页面上显示表单验证错误消息？ html php
2017-02-13 13:36

回答 1 已采纳 You shouldn't put the rendering of the form in the else of your if structure. This is the reason y
在输入上使用jquery val（）后，PHP $ _POST为空 jquery php
2016-01-25 23:03

回答 2 已采纳 You should move the script right to the end of the HTML body so that it executes when the kontrola
如果帖子数据不符合参数，如何排除某些帖子在wp_query中显示？ php
2019-08-12 12:27

回答 1 已采纳 You can add the $creditscore value to your WP_Query. Check the documentation for Custom Field (pos
PHP $_SERVER[’PHP_SELF’]漏洞
2018-01-18 20:12

huike008的博客 REQUEST_URI 返回的是包括后面数据串的地址，如 index.php?str=1234 PHP_SELF 是 index.php ——————————————————————————– $_SERVER[’PHP_SELF’]在开发的时候常会用到，一般用来引用...
我在php表单输出上得到了一个非常奇怪的结果 php
2017-02-06 06:14

回答 3 已采纳 Try this code : <h2> Simple Form </h2> <form action="" method="post">
使用PHP和HTML在表单上执行多个操作 html php
2016-05-23 21:42

回答 2 已采纳 Explaining a few important fundamentals: The action="database.php" or action="<?php echo htmls
我在哪里添加我的PHP表单处理程序文件在WordPress？ html php
2019-04-11 16:06

回答 1 已采纳 There are many ways to do this with Wordpress. You could do it with a plugin. Contact Form 7 is ex
php基础及表单安全问题
2021-08-13 20:44

<chrisgan>的博客 PHP 脚本在服务器上执行，然后向浏览器发送回纯 HTML 结果。 <?php // 此处是 PHP 代码 ?> <!DOCTYPE html> <html> <body> <h1>我的第一张 PHP 页面</h1> <?php ...
php验证在同一页面上，然后通过不同的PHP处理 php
2018-06-02 00:00

回答 5 已采纳 Thanks to all that tried to help! Some of the information was helpful in allowing me to find a so
网络安全-php安全知识点_网络安全应掌握得php知识(1)
2024-04-29 20:37

2401_84247760的博客例如，在地址为 http://example.com/test.php/foo.bar 的脚本中使用 $_SERVER[‘PHP_SELF’] 将得到 /test.php/foo.bar。__FILE__ 常量包含当前(例如包含)文件的完整路径和文件名。从 PHP 4.3.0 版本开始，如果 PHP...
php学习
2022-04-14 17:51

拓海AE的博客 PHP 脚本在服务器上执行。 PHP 可免费下载使用。 PHP 文件是什么？ PHP 文件可包含文本、HTML、JavaScript代码和 PHP 代码 PHP 代码在服务器上执行，结果以纯 HTML 形式返回给浏览器 PHP 文件的默认文件扩展名是 ...
function core.php is missing,discuzx源码分析笔记（二）class_core.php 核心类
2021-04-15 19:05

理性批判的博客先看forum.php文件define(‘APPTYPEID’, 2);//应用类型define(‘CURSCRIPT’, ‘forum’);//当前脚本require ‘./source/class/class_core.php’;//加载核心require ‘./source/function/function_forum.php’;$...
discuz classcore.php 木马,Discuz! X2 核心类源码分析(class_core.php)
2021-05-07 06:00

weixin_39953629的博客 /*** [Discuz!] (C)2001-2099 Comsenz Inc.* This is NOT a freeware, use is subject to license terms** $Id: class_core.php 21271 2011-03-22 02:44:58Z congyushuai $*/define('IN_DISCUZ', tru...
php实现发表情分页_php实现分页功能的3种方法第1/3页
2020-12-22 12:37

weixin_39712724的博客直接上代码，希望大家仔细阅读。方法一：讲sql查询进行分页进行，需要调用几个函数，具体见脚本：1.pager.class.phpclass pager {public $sql; //SQL查询语句public $datanum; //查询所有的数据总记录数public $page...
PHP表单
2017-11-13 23:03

weixin_30687811的博客【菜鸟教程】、【参考1】、【参考2】 PHP表单 <?php // 定义变量并默认设置为空值 ...$nameErr = $emailErr = $genderErr = $websiteErr = "";...$name = $email = $gender = $...if ($_SERVER["REQUEST_METHOD"]...
网络安全-php安全知识点
2020-10-09 17:26

lady_killer9的博客学安全需要学的东西太多，你不可能把js学的和做前端的同学一样好、把php学的和做后端的一样好，把数据库学的和做数据库优化的同学一样好，把Apache学的和做服务器端的同学一样好，我们只能关注他们涉及的领域中不...
没有解决我的问题, 去提问

悬赏问题

¥15 R语言Rstudio突然无法启动
¥15 关于#matlab#的问题：提取2个图像的变量作为另外一个图像像元的移动量，计算新的位置创建新的图像并提取第二个图像的变量到新的图像
¥15 改算法，照着压缩包里边，参考其他代码封装的格式写到main函数里
¥15 用windows做服务的同志有吗
¥60 求一个简单的网页(标签-安全|关键词-上传)
¥35 lstm时间序列共享单车预测，loss值优化，参数优化算法
¥15 Python中的request，如何使用ssr节点，通过代理requests网页。本人在泰国，需要用大陆ip才能玩网页游戏，合法合规。
¥100 为什么这个恒流源电路不能恒流？
¥15 有偿求跨组件数据流路径图
¥15 写一个方法checkPerson，入参实体类Person，出参布尔值

为什么htmlspecialchars在'PHP_SELF'上工作而在表单帖子上不在'REQUEST_URI'上？

1条回答 默认 最新

悬赏问题

1条回答默认最新