什么是 htmlspecialchars()方法和 $_SERVER["PHP_SELF"] 变量、XSS？？?

htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。

预定义的字符是：

• & （和号） 成为 &
• " （双引号） 成为 "
• ' （单引号） 成为 '
• < （小于） 成为 &lt;
• > （大于） 成为 &gt;

 

$_SERVER["PHP_SELF"]是超级全局变量，返回当前正在执行脚本的文件名，与 document root相关。

$_SERVER["PHP_SELF"] 变量有可能会被黑客使用！

 当黑客使用跨网站脚本的HTTP链接来攻击时，$_SERVER["PHP_SELF"]服务器变量也会被植入脚本。原因就是跨网站脚本是附在执行文件的路径后面的，因此$_SERVER["PHP_SELF"]的字符串就会包含HTTP链接后面的JavaScript程序代码。

XSS又叫 CSS (Cross-Site Script) ,跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

 

 

两个结合可以在表单提交的时候使用。

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">