PHP_SELF 및 SCRIPT_NAME - XSS 공격 버전

Question

PHP_SELF은 echo $_SERVER['PHP_SELF']과 같은 코드가 포함되어있을 때 XSS 공격에 대한 페이지를 열지 만, SCRIPT_NAME은 무엇입니까? 경로 정보가 포함되어 있지 않으므로 사용하기에 안전합니까? htmlentities 및 기타 유사한 기능을 사용하여 삭제할 수 있음을 알고 있지만 추가 기능 호출을 피할 것입니다.

나는 그것을 사용하는 것이 안전하다고 확신 해요하지만 난 SO 커뮤니티 :

Answer 1

으로 좋은 연습, 당신은 항상 $ _SERVER, $ _GET에서 모든 변수에 대해 보호해야의 안심을하고 싶습니다 , $ _POST 등.

$str = filter_var($input, FILTER_SANITIZE_STRING); 

간단한 방법으로 문자열을 삭제하거나 htmlentities를 사용할 수 있습니다. $ _SERVER, $ _GET 및 $ _POST의 변수를 반환 할 때 사용하는 클래스를 만듭니다.