PHP - Auto formulaire de soumission: $_SERVER['PHP_SELF'] OU action=“”?

Je viens de réaliser que, pour d'étranges circonstances, je faisais ce que je crois être auto moyens, sans aucune référence à PHP_SELF sur le formulaire d'action de l'attribut.

Je suis perplexe, peut-on utiliser 

<?php echo filter_var($_SERVER['PHP_SELF'], FILTER_SANITIZE_STRING); ?>

Ou 

action=""

?

Si non, dans quelles circonstances doit-on considéré comme l'un, ou l'autre?

Merci d'avance,
MEM

InformationsquelleAutor MEM | 2010-09-01
  1. 3

    Vous pouvez utiliser (PHP_SELF ou une chaîne vide). mais pourquoi voudriez-vous utiliser FILTER_SANITIZE_STRING pour cela? Vous feriez mieux d'utiliser htmlentities() au lieu de filter_var dans ce cas, si votre chemin d'accès contient des caractères filtrées (par exemple <), la forme ne se soumettent pas.

    Je préfère donner une chaîne de caractères, <base href=> peut causer des problèmes lors de l'utilisation des valeurs vides.
    Exemple:

    <form action="<?php echo htmlentities($_SERVER['PHP_SELF']);?>" method="post">
</form>
    • Pourquoi l'un plutôt qu'un autre, pouvez-vous préciser? Merci beaucoup.
    • Des caractères comme '<' dans les chemins d'accès seront filtrés, la ressource ne sera pas accessible.
    • cette réponse est manquant ENT_QUOTES, au moins. Je ne vois vraiment pas le point - pourquoi ne pas simplement utiliser une chaîne vide? S'échapper de tous les apports possibles tend à ne pas être trivial, mais à l'aide d'une chaîne vide.
    • La chaîne vide conserve les paramètres de chaîne de requête de la page en cours qui peuvent être indésirables. La valeur par défaut paramètre flags contient ENT_COMPAT qui convertit des guillemets doubles. Seulement si vous utilisez des guillemets simples pour les attributs, alors vous avez besoin ENT_QUOTES.
    • oui, ce qui signifie que cette réponse pause pour les guillemets simples, que je considère inacceptable. les paramètres de requête de l'url doit se rapporter à la page affichée, donc je ne considère plus probable qu'ils sont nécessaires que dans le cas où ils ne sont pas nécessaires.
    InformationsquelleAutor Lekensteyn
  2. 0

    Si je ne me trompe pas Safari a/a des problèmes avec la dernière, donc j'ai laissé tomber l'utiliser.

    • Merci beaucoup. @Tous - une autre personne Peut confirmer si le ci-dessus s'applique toujours? Ou si c'est un cas courant... j'ai besoin de plus de preuves pour décider soit de l'utiliser ou non. 😀
    • Pour plus de discussion sur ce sujet, voir ceci et ceci. En bref, le bug a été résolu à 2009.
    InformationsquelleAutor NikiC
  3. -1

    S'il vous plaît ne pas utilisation PHP_SELF, parce que cela peut aussi être /index.php/"><script>alert(1)</script>/.

    Il est souvent utilisé pour les Attaques XSS.

    Utiliser l'index SCRIPT_NAME à la place! SCRIPT_NAME pointe toujours à la réelle fichier PHP et non pas d'entrée de l'utilisateur.

    Ce qui concerne

    Edit:

    Deux personnes ce point, SCRIPT_NAME ne serait pas de travail lors de l'utilisation de mod_rewrite. C'est faux et je pense que ces personnes devraient lire avant de voter réponses.

    Voici un scénario de test pour vous ***:

    $ cat .htaccess 
RewriteEngine On
RewriteRule testme/ /testmenot.php

$ cat testmenot.php 
<? echo $_SERVER['SCRIPT_NAME']; ?>

$ GET hostname/testme/
/testmenot.php

    $_SERVER['REQUEST_URI'] est maintenant "/testme/", qui, j'imagine, ces gens ont attendu dans SCRIPT_NAME. Mais qui peut également pas être trouvé dans PHP_SELF.

    /me croise les doigts

    :E

    • -1, SCRIPT_NAME de ne pas travailler pour réecrit URL. PHP_SELF peut être utilisé si vous êtes à la vérification, c'est bien.
    • ne pas le filter_var ou htmlentities ça?
    • $_SERVER['SCRIPT_NAME'] ne fonctionne pas avec les URL réécrite:s. Le XSS est pas un problème si la page de réception redirige après l'analyse de la demande.
    • merci pour le -1, mais vous avez tort: SCRIPT_NAME fait de travailler avec des URLs réécrites... ça va toujours pointer vers le .fichier php et pas pour la réécriture. Lorsque vous souhaitez que le QUERY_STRING vous allez utiliser ni SCRIPT_NAME ni PHP_SELF.
    • Jan, j'ai les cas où les ressources ne sont accessibles qu'avec le réecrit URL; demander directement le fichier des résultats donne une page d'erreur 404, sans traitement de la demande supplémentaire. Pour diverses raisons, il n'est pas prefferable pour afficher le véritable chemin d'accès au fichier directement.
    • qui n'a rien à voir avec vous faire de fausses déclarations sur une réponse correcte. C'est merley un avis relatif à un projet de vous-même. Mais merci de nous le faire savoir.
    • Aucune Jan, votre suggestion des pauses d'environ 80% de la norme des cadres que je connais, et pas seulement Lekensteyn du projet de compagnie. Avoir un point d'entrée unique dans par exemple /index.php il est assez commun. Vous est cependant droit que les attaques XSS devrait être évité, mais un simple htmlspecialchars($var,ENT_QUOTES) traite que, par conséquent, ou tout simplement de la liste blanche des urls & les valeurs et vérifier celles pour plus de précision, de contrôle.
    • Vous avez raison dans la manière que la plupart des projets utilisent une réécriture de nom et c'est alors totalement indésirables à utiliser PHP_SELF ou SCRIPT_NAME. Mais c'est toujours pas le point ici. Sur l'autre main juste en utilisant htmlentities peut-être assez de l'aspect sécurité, mais il ne fait aucun sens d'utiliser quoi que ce soit aléatoire qu'un client envoie la cible href d'un formulaire. Cela rompt unique des stratégies de contenu et n'est pas ce que l'on veut.

    InformationsquelleAutor Jan.
  4. -1
         <?php
     session_start();
        $msg = '';

        if (isset($_POST['login']) && !empty($_POST['username']) 
           && !empty($_POST['password'])) {

           if ($_POST['username'] == 'abc' && 
              $_POST['password'] == 'xyz') {
              $_SESSION['valid'] = true;
              $_SESSION['timeout'] = time();
              $_SESSION['username'] = 'abc';
              ?>

              <script type="text/javascript">

          location.href="index.php"

        </script>
              <?php 
           }
           else 
           {
              $msg ='Invalid username or password';
           }
        }
     ?>
       <form
        action ="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); 
        ?>" method = "post">
              <input type = "text" class = "form-control" 
           name = "username" placeholder = "username" 
           required autofocus ></br> 
          <input type = "password" class = "form-control"
           name = "password" placeholder = "password" required>

      <input class="button" type = "submit"  name = "login" value="Log in"/>
    InformationsquelleAutor Ruchi Dubey