1

我正在构建一个表单,用户可以将文件上传到我的服务器。上传脚本是 PHP 的并且是安全的,但我不确定我的表单操作有多安全。

目前我在提交时执行以下操作:

<form id="apply" method="post" enctype="multipart/form-data" action="<?php echo htmlspecialchars($_SERVER['REQUEST_URI'], ENT_QUOTES, "utf-8"); ?>">

我已经阅读了 XSS 和 $_SERVER 数组以及如何使用 htmlspecialchars 来保护它。

这够了吗?我应该做点别的吗?

4

2 回答 2

5

只需使用action="",它将 POST 到当前页面。

于 2013-01-16T16:00:55.670 回答
1

直接使用 $_SERVER['REQUEST_URI'] 值是不安全的,即使您使用 htmlspecialchars

于 2013-01-16T16:01:58.760 回答