PHP_SELFとSCRIPT_NAME - XSS攻撃のエディション

Question

PHP_SELFは、echo $_SERVER['PHP_SELF']などのコードが含まれている場合にXSS攻撃にページを表示しますが、SCRIPT_NAMEはどうですか？これはパス情報を含んでいないので、これは安全ですか？私はあなたがhtmlentitiesと他の同様の機能を使用してサニタイズできることを知っていますが、私はむしろ余分な関数呼び出しを避けるでしょう。

私はそれを使用しても安全だとかなり確信しているが、私はSOのコミュニティの安心感が欲しい:)

Answer 1

良いプラクティスとして、あなたは常に$ _SERVER、$ _GETから任意の変数に対して保護しなければなりません、$ _POSTなど。

$str = filter_var($input, FILTER_SANITIZE_STRING); 

簡単な方法で文字列を消すことも、htmlentitiesを使うこともできます。 $ _SERVER、$ _GET、$ _POSTの変数を返すときに使うクラスを作成します。