Php $\u服务器['；请求URI'；]-防止XSS和其他攻击_Php_Forms_Xss

Php $\u服务器['；请求URI'；]-防止XSS和其他攻击

php forms

Php $\u服务器['；请求URI'；]-防止XSS和其他攻击,php,forms,xss,Php,Forms,Xss,我正在构建一个表单，用户可以将文件上传到我的服务器。上传脚本是用PHP编写的，是安全的，但我不确定我的表单操作有多安全目前，我在提交时执行以下操作： <form id="apply" method="post" enctype="multipart/form-data" action="<?php echo htmlspecialchars($_SERVER['REQUEST_URI'], ENT_QUOTES, "utf-8"); ?>"> 只需使用action=“

我正在构建一个表单，用户可以将文件上传到我的服务器。上传脚本是用PHP编写的，是安全的，但我不确定我的表单操作有多安全

目前，我在提交时执行以下操作：

<form id="apply" method="post" enctype="multipart/form-data" action="<?php echo htmlspecialchars($_SERVER['REQUEST_URI'], ENT_QUOTES, "utf-8"); ?>">

只需使用action=“”
，它将发布到当前页面。
只需使用action=“”
，它将发布到当前页面。
直接使用$\u SERVER['REQUEST\u URI']值是不安全的，即使您使用特殊字符直接使用$\u SERVER['REQUEST\u URI']值也是不安全的，即使使用htmlspecialchars
发回同一URL，也只需将操作留空即可。请求URI包含请求的脚本和查询参数。如果您正在执行POST请求，则不需要在操作中包含查询参数<代码>$\u服务器['SCRIPT\u NAME']
应该足够了。如果要回发到同一URL，只需将操作留空。REQUEST\u URI包含请求的脚本和查询参数。如果您正在执行POST请求，则不需要在操作中包含查询参数<代码>$\u服务器['SCRIPT\u NAME']
应该足够了。现在我觉得自己真的很愚蠢。。。感谢您提供了最简单的解决方案！我不知道为什么我自己没有想到这一点。现在我觉得自己真的很愚蠢。。。感谢您提供了最简单的解决方案！我不知道为什么我自己没有想到这一点。您好，除了htmlspecialchars（$\u服务器['REQUEST\u URI']），您建议使用什么？您好，除了htmlspecialchars（$\u服务器['REQUEST\u URI']），您建议使用什么？