PHP 表单安全性

$_SERVER["PHP_SELF"] 变量能够被黑客利用！

如果页面使用了 PHP_SELF，用户能够输入下划线然后执行跨站点脚本（XSS）。

假设我们的一张名为 "test_form.php" 的页面中有如下表单：

<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">

现在，如果用户进入的是地址栏中正常的 URL："http://www.example.com/test_form.php"，上面的代码会转换为：

<form method="post" action="test_form.php">

到目前，一切正常。

不过，如果用户在地址栏中键入了如下 URL：

http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

在这种情况下，上面的代码会转换为：

<form method="post" action="test_form.php"/><script>alert('hacked')</script>

这段代码加入了一段脚本和一个提示命令。并且当此页面加载后，就会执行 JavaScript 代码（用户会看到一个提示框）。这仅仅是一个关于 PHP_SELF 变量如何被利用的简单无害案例。

您应该意识到 <script> 标签内能够添加任何 JavaScript 代码！黑客能够把用户重定向到另一台服务器上的某个文件，该文件中的恶意代码能够更改全局变量或将表单提交到其他地址以保存用户数据，等等。

如果避免 $_SERVER["PHP_SELF"] 被利用？

通过使用 htmlspecialchars() 函数能够避免 $_SERVER["PHP_SELF"] 被利用。

表单代码是这样的：

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

htmlspecialchars() 函数把特殊字符转换为 HTML 实体。现在，如果用户试图利用 PHP_SELF 变量，会导致如下输出：

<form method="post" action="test_form.php/"><script>alert('hacked')</script>">

无法利用，没有危害！