PHP $_SERVER['PHP_SELF']

$_SERVER['PHP_SELF'] 表示当前 php 文件相对于网站根目录的位置地址，与 document root 相关。

假设我们有如下网址，$_SERVER['PHP_SELF']得到的结果分别为：

http://www.5idev.com/php/ ：/php/index.php

http://www.5idev.com/php/index.php ：/php/index.php

http://www.5idev.com/php/index.php?test=foo ：/php/index.php

http://www.5idev.com/php/index.php/test/foo ：/php/index.php/test/foo

因此，可以使用 $_SERVER['PHP_SELF'] 很方便的获取当前页面的地址：

$url = "http://".$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'];

以上面的地址为例，得到的结果如下：

http://www.5idev.com/php/index.php

上面是简单获取 http 协议的当前页面 URL ，只是要注意该地址是不包含 URL 中请求的参数（?及后面的字串）的。如果希望得到包含请求参数的完整 URL 地址，请使用 $_SERVER['REQUEST_URI'] 。

PHP $_SERVER['PHP_SELF'] 安全性

由于利用 $_SERVER['PHP_SELF'] 可以很方便的获取当前页面地址，因此一些程序员在提交表单数据到当前页面进行处理时，往往喜欢使用如下这种方式：

<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">

假设该页面地址为：

http://www.5idev.com/php/index.php

访问该页面，得到的表单 html 代码如下：

<form method="post" action="/php/index.php">

这段代码是正确的，但是当访问地址变成：

http://www.5idev.com/php/index.php/test/foo

页面正常执行了，表单 html 代码变成：

<form method="post" action="/php/index.php/test/foo">

显然这段代码不是我们期望的，攻击者可以在 URL 后面随意加上攻击代码。要解决该问题，可以：

1. 使用 htmlentities($_SERVER['PHP_SELF']) 替代 $_SERVER['PHP_SELF']，让 URL 中可能的恶意代码转换为用于显示的 html 代码而无法执行。
2. 可以的条件下，使用 $_SERVER['SCRIPT_NAME'] 或 $_SERVER['REQUEST_URI'] 替代 $_SERVER['PHP_SELF']
3. 在公共代码里将 $_SERVER['PHP_SELF'] 进行重写：

$phpfile = basename(__FILE__);

$_SERVER['PHP_SELF'] = substr($_SERVER['PHP_SELF'], 0, strpos($_SERVER['PHP_SELF'], $phpfile)).$phpfile; 

随机推荐

1. hpunix下11gRac的安装

   一.检查环境 1.操作系统版本# uname -a 2.补丁包三大补丁包#swlist -l bundle|grep QPKAPPS#swlist -l bundle|grep QPKBASE#swl ...

2. [Android Framework]linux 文件系统

   目录名   bin 用户二进制工具 boot Linux内核镜像文件, 由bootloader程序读取并装载 dev 各种系统硬件设备 etc 系统配置文件及其他配置文件 home 用户工作目录 li ...

3. spring的一些问题

   1.什么是spring? spring是一个轻量级的一站式框架,它的核心有两个部分,1.aop面向切面编程 2.ioc控制反转. 2.什么是aop aop就是面向切面编程,使用aop可以使业务逻辑各个 ...

4. Eclipse插件springsource-tool-suite在线和离线安装步骤

   springsource-tool-suite插件是一个基于Eclipse的开发环境,为开发Spring应用程序而定制.它提供了一个即用的环境来实现,调试,运行和部署Spring应用程序,包括Pivo ...

5. 点击table中的某一个td,获得这个tr的所有数据

   功能: 点击table中的某一个td,获得这个tr的所有数据 效果图 <html> <head> <script> function getData2(elemen ...

6. openstack--9--深入理解虚拟机

   登录计算节点查看进程 [root@linux-node2 ~]# ps aux | grep kvm root 824 0.0 0.0 0 0 ? S< 10:19 0:00 [kvm-irqf ...

7. Kafka 集群部署

   kafka是一个分布式消息队列,需要依赖ZooKeeper,请先安装好zk集群 kafka安装包解压 $ -0.9.0.1.tgz $ -0.9.0.1 /usr/kafka $ cd /usr/ka ...

8. Python tricks&lpar;2&rpar; -- method默认参数和闭包closure

   Python的method可以设置默认参数, 默认参数如果是可变的类型, 比如list, map等, 将会影响所有的该方法调用. 下面是一个简单的例子 def f(a=None, l=[]): if ...

9. ajax请求头设置 &vert; header 传token

   $('.w-entry-btn').on('tap',function(){ var urlAddress = '/api/address'; var valToken = JSON.parse(lo ...

10. http&colon;&sol;&sol;code52&period;org&sol;DownmarkerWPF&sol;

    http://code52.org/DownmarkerWPF/ http://kb.cnblogs.com/page/132209/