SCRIPT_NAME如何在PHP中危险？

I am using line below in my php blog site, how is that danger ? I have register_global off and magic_quotes_gpc() also off and using php 5.2. Can anyone please enlight me, or give alternative to this ? I did try $_SERVER['php_self'] but that didn't work.

<form action="<?php echo $SCRIPT_NAME. "?id=" . $validentry; ?>" method="post">

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dongshuo2752 2011-05-10 13:39
关注
SCRIPT_NAME and PHP_SELF mostly contain the same value. Both contain the webserver-normalized version of REQUEST_URI (that is, relative path parts removed).

Your actual security issue here is not using htmlspecialchars(). And as said before, just use the correct key case to output PHP_SELF:

<form action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"], ENT_QUOTES, "utf-8") . $validentry ...
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(2条)

报告相同问题？

关注问题

SCRIPT_NAME如何在PHP中危险？ php
2011-05-10 13:26

回答 3 已采纳 SCRIPT_NAME and PHP_SELF mostly contain the same value. Both contain the webserver-normalized vers
<？php echo base_url（）;？>和<？php base_url（）;？> php
2016-07-28 09:00

回答 2 已采纳 Please show more about your problem detail like paste your error code in here that we could use th
$ _SERVER ['SCRIPT_NAME']问题 php
2014-04-04 18:37

回答 2 已采纳 Since your about.php is a template file that is at some point included in index.php, that is why y
PHP_SELF、 SCRIPT_NAME、 REQUEST_URI区别
2018-06-02 23:43

fjb2080的博客转自：http://www.cnblogs.com/zcy_soft/archive/2010/10/16/1853239.html$_SERVER[PHP_SELF]， $_SERVER[SCRIPT_NAME], $_SERVER['REQUEST_URI'] 在用法上是非常相似的，他们返回的都是与当前正在使用的页面地址...
使用.htaccess文件实现网址重写而不影响$ _SERVER ['SCRIPT_NAME'] php
2014-12-11 08:04

回答 1 已采纳 Instead of $_SERVER["SCRIPT_NAME"] you need to use: $_SERVER["REQUEST_URI"] that will have valu
无法在<script>标签内回显PHP变量？ [关闭] html javascript json php
2016-07-07 19:28

回答 5 已采纳 The real problem is that this is what your rendered result looks like: var error = You must choos
我有问题让ftp_delete在PHP中工作[重复] php
2019-01-18 21:44

回答 1 已采纳 I figured it out thanks to Barmar. I needed to empty the contents of the directory first and then
php案例:$_SERVER详解（图文并茂）
2022-10-10 21:22

贵哥的编程之路(热爱分享)的博客 $_SERVER['DOCUMENT_ROOT'] $_SERVER['HTTP_ACCEPT_LANGUAGE'] $_SERVER['SCRIPT_FILENAME'] $_SERVER['SCRIPT_NAME'] $_SERVER['REQUEST_URI'] 前言学习学习$_SERVER各个系统函数的解释（图文并茂） $_SERVER[...
php在公众号实现微信支付修改支付金额？ ajax javascript php 有问必答
2021-07-08 10:58

回答 4 已采纳问题蛮多的，大概改了下，看里面的代码注释，有帮助能点个采纳【右上角】吗，谢谢，有其他问题可以继续交流~ 你用到了jquery框架的代码，但是没见你导入jquery框架呢？ <?php hea
如何在ColdFusion中使用PHP $ _GET php
2017-10-16 14:57

回答 1 已采纳 The equivalent code in CF is url["argname"] so <input name="auth_token" value="<cfoutput&gt
如何在PHP中运行JS？ ajax javascript php
2016-10-29 05:40

回答 2 已采纳 Update Your code with below code. and try //JS Part: $("#admissionNumber").on('submit',function
$_SERVER['PHP_SELF']和$_SERVER['SCRIPT_NAME']区别
2012-06-04 12:51

林子木的博客一般情况下两者打印出来的东西基本一样的，但是如果你输入 ...而$_SERVER['SCRIPT_NAME']结果是/test.php 所以为了安全起见，为了指向自身，应该用$_SERVER['SCRIPT_NAME']而不是$_SERVER['PHP_SELF']。
如何在JSON-LD中包含WordPress PHP标记？ php
2017-11-16 15:02

回答 1 已采纳 You could do this in PHP to print to your page. By echoing your script in entirety will allow you
【nginx】【php】 fastcgi_split_path_info与PATH_INFO
2021-12-12 09:53

m0_61667859的博客这个正则表达是有两个匹配第一个匹配的值会赋值给$fastcgi_script_name变量。第二个匹配到的值会自动赋值给$fastcgi_path_info变量。例如： www.example.com/index.php/userinfo ,第二个捕获的是/userinfo $...
php中文命令手册,PHP 的命令行模式
2021-04-26 20:08

文右的博客用户评论:[#1]frankNospamwanted at.... de [2014-10-30 15:37:23]ParsingcommandlineargumentGETStringwithoutchangingthePHPscript(linuxshell):URL:index.php?a=1&b=2Result:output.html...
没有解决我的问题, 去提问

悬赏问题

¥20 BAPI_PR_CHANGE how to add account assignment information for service line
¥500 火焰左右视图、视差（基于双目相机）
¥100 set_link_state
¥15 虚幻5 UE美术毛发渲染
¥15 CVRP 图论物流运输优化
¥15 Tableau online 嵌入ppt失败
¥100 支付宝网页转账系统不识别账号
¥15 基于单片机的靶位控制系统
¥15 真我手机蓝牙传输进度消息被关闭了，怎么打开？(关键词-消息通知)
¥15 装 pytorch 的时候出了好多问题，遇到这种情况怎么处理？

SCRIPT_NAME如何在PHP中危险？

3条回答 默认 最新

悬赏问题

3条回答默认最新