避免在刷新页面上提交数据php ['PHP_SELF']

PHP_SELF是一个超全局变量，用于获取当前执行脚本的文件名。它可以用于在刷新页面时提交数据。

PHP_SELF的值是相对于网站根目录的路径，包括文件名和文件扩展名。它可以用于构建表单的action属性，以便在刷新页面时将数据提交到当前页面。

然而，使用PHP_SELF来提交数据存在安全风险，因为它容易受到跨站脚本攻击（XSS）的影响。攻击者可以通过修改表单的action属性来执行恶意代码或窃取用户数据。

为了避免这种安全风险，推荐使用htmlspecialchars函数对PHP_SELF进行转义，以防止XSS攻击。另外，最好将数据提交到处理表单的独立处理程序，而不是提交到当前页面。

腾讯云提供了多种与PHP相关的产品和服务，例如：

云服务器（CVM）：提供可扩展的虚拟服务器实例，可用于托管PHP应用程序。详情请参考：云服务器产品介绍
云数据库MySQL版（CDB）：提供高性能、可扩展的MySQL数据库服务，可用于存储和管理PHP应用程序的数据。详情请参考：云数据库MySQL版产品介绍
云函数（SCF）：无服务器计算服务，可用于运行PHP函数，实现按需计算。详情请参考：云函数产品介绍

以上是腾讯云提供的一些与PHP相关的产品和服务，可以根据具体需求选择适合的产品来支持PHP应用程序的开发和部署。

相关·内容

实例讲解PHP表单验证功能

PHP 表单验证提示：在处理 PHP 表单时请重视安全性！这些页面将展示如何安全地处理 PHP 表单。对 HTML 表单数据进行适当的验证对于防范黑客和垃圾邮件很重要！...php echo htmlspecialchars($_SERVER["PHP_SELF"]);? " 当提交此表单时，通过 method=”post” 发送表单数据。...因此，$_SERVER[“PHP_SELF”] 将表单数据发送到页面本身，而不是跳转到另一张页面。这样，用户就能够在表单页面获得错误提示信息。...黑客能够把用户重定向到另一台服务器上的某个文件，该文件中的恶意代码能够更改全局变量或将表单提交到其他地址以保存用户数据，等等。如果避免 $_SERVER[“PHP_SELF”] 被利用？...– 代码不会执行，因为会被保存为转义代码，就像这样：现在这条代码显示在页面上或 e-mail 中是安全的。

3.9K3 0

PHP超级全局变量【$GLOBALS，$_SERVER，$_REQUEST等】用法实例分析

首先是$GLOBALS，它是PHP的一个超级全局变量组，在一个PHP脚本的全部作用域中都可以访问，它还是PHP的一个超级全局变量组，在一个PHP脚本的全部作用域中都可以访问。具体用法如下： <?...例如，在地址为 http://example.com/test.php/foo.bar 的脚本中使用 $_SERVER[‘PHP_SELF’] 将得到 /test.php/foo.bar。...最后来看下$_REQUEST，它主要用于收集HTML表单提交的数据。以下实例显示了一个输入字段（input）及提交按钮(submit)的表单(form)。...当用户通过点击 “Submit” 按钮提交表单数据时, 表单数据将发送至<form 标签中 action 属性中指定的脚本文件。在这个实例中，我们指定文件来处理表单数据。...php echo $_SERVER['PHP_SELF'];?

1K3 1

3.4K5 0

PHP常用代码大全

页: "; if($page>0)echo "首页"; if($startpage>0) echo " ......页: "; if($page>0)echo "<a href=$PHP_SELF?...php } ?> <?php showpage(); //显示页 ?> <?php mysql_close(); ?> 4、服务器端包含 3）关闭数据库 <?php mysql_close(); ?> 8、对数据库中某一条记录进行更新操作，并作提示跳转 15、给下拉列表框绑定数据(并且在修改时默认选中) <?

3K2 0

php+mysql实现分页代码

mysql+php实现分页数据库设计，如图 <?php /** * 1.获取页数 */ $page = empty($_GET['p'])?...$_SERVER['PHP_SELF']."?p=1'>首页"; $banner_page.= "下一页"; $banner_page.= "<a href='".$_SERVER['PHP_SELF']."?...$_SERVER['PHP_SELF']."'

3.1K7 0

PHP+mysql数据库简单分页实例-sql分页

前言前几天冷月写了一篇博文《php基础编程-php连接mysql数据库-mysqli的简单使用》，很多小伙伴在学习后都知道了php与mysql数据库的连接，今天冷月分享一个简单的分页实例首先，我们来看一下效果..."{$_SERVER['PHP_SELF']}?p=" . ($page - 1) ...."{$_SERVER['PHP_SELF']}?p={$i}" ...."{$_SERVER['PHP_SELF']}?p=" . ($page + 1) . "'>下一页"; $page_banner .= "<a href='" ...."{$_SERVER['PHP_SELF']}?p={$total_page}" .

2.2K1 0

PHP 使用 $_SERVER 获取当前页面地址及其安全性问题

$_SERVER[‘PHP_SELF’] $_SERVER['PHP_SELF'] 表示当前 php 文件相对于网站根目录的位置地址，与 document root 相关。...$_SERVER[‘PHP_SELF’] 安全性由于利用 $_SERVER['PHP_SELF'] 可以很方便的获取当前页面地址，因此有人在提交表单数据到当前页面进行处理时，往往喜欢使用如下这种方式：...：显然这段代码不是我们期望的，攻击者可以在 URL 后面随意加上攻击代码。...可以的条件下，使用 _SERVER['SCRIPT_NAME'] 或 _SERVER['REQUEST_URI'] 替代在公共代码里将 $_SERVER['PHP_SELF'] 进行重写： $phpfile...= basename(__FILE__); $_SERVER['PHP_SELF'] = substr($_SERVER['PHP_SELF'], 0, strpos($_SERVER['PHP_SELF

2.2K3 1

PHP+MYSQL分页最终章6

$_SERVER['PHP_SELF']."?p=1'>首页"; $page_banner .= "下一页>"; $page_banner .= "尾页"; }else{ $page_banner ....$_SERVER['PHP_SELF']."?p=1'>首页"; $page_banner .= "<a href='".$_SERVER['PHP_SELF']."?

6344 0

令PHP初学者的困惑的10个知识点

【1】页面之间无法传递变量 get,post,session在最新的php版本中自动全局变量是关闭的，所以要从上一页面取得提交过来得变量要使用$_GET['foo'],$_POST['foo'],...注：PHP中的超全局变量从PHP 4.2.0 开始，register_globals 的默认值为 off，这样一来，以前的很多可以直接使用的变量，如 $PHP_SELF 或者你设定的SESSION...以前的$PHP_SELF对应$_SERVER['PHP_SELF']，你可以使用phpinfo来查看你的$_SERVER变量。 $_GET 经由 HTTP GET 方法提交至脚本的变量。...['error'] 是在 PHP 4.2.0 版本中增加的。...【5】更改php.ini后没有变化重新启动web server，比如IIS，Apache等等，然后才会应用最新的设置。【6】有时候sql语句不起作用，对数据库操作失败。

8195 0

PHP-超级全局变量

是PHP的一个超级全局变量组，在一个PHP脚本的全部作用域中都可以访问。.../php-superglobals.html $_REQUEST $REQUEST 用于收集HTML表单提交的数据。...php echo $_SERVER['PHP_SELF'];?...> $_POST PHP $POST 被广泛应用于收集表单数据，在HTML form标签的指定该属性：”method=”post”。...php echo $_SERVER['PHP_SELF'];?

1.4K8 0

代码审计基础之还不滚进来学习

例如，在地址为 HTTP://EXAMPLE.COM/TEST.PHP/FOO.BAR 的脚本中使用 $_SERVER['PHP_SELF'] 将得到 /TEST.PHP/FOO.BAR。...$_SERVER['HTTP_REFERER'] 引导用户代理到当前页的前一页的地址（如果存在）。由 user agent 设置决定。...在PHP中$_REQUEST可以获得以POST方法或者GET方法提交的数据其次他比较慢，所以在此建议不要使用$REQUEST，应该从$GET,$POST,$COOKLE,$ENV,$SERVER等变量中取出需要的值这个亚子...从服务器上获取数据，把参数数据队列加到提交表单的 ACTION属性所指的URL中，值和表单内各个字段一一对应，在URL 中可以看到 ?...用户看不到这个过程故障排查，有的小伙伴在测试post提交时会遇到这种报错(以踩坑) ? 别慌，post提交和get提交不同，打开火狐post data 调试即可

9894 0

Web for Pentester 实验合集

接下来，就来尝试一下，首先，看到提交的内容都是在完整的在引号里，那么就可以先闭合引号，然后分号(;)表示一句结束，然后alert语句,最后注释（//）最后一个分号即可，即?...$_SERVER["PHP_SELF"]的值是当前php文件相对于网站根目录的位置地址，也就是说，是返回当前正在执行脚本的文件名。...但是呢，这个$_SERVER["PHP_SELF"]的值是可以通过url上的值控制的，比如说/xss/example8.php,在url上改成/xss/example8.php233 那么$_SERVER...["PHP_SELF"]的值就是/xss/example8.php233，（当然不能直接php233，这样就请求不到文件了，/ 如果不是伪静态的话，一般是指目录，由于已经请求到具体的php文件了，后面就不会管了...，根据上下文闭合双引号，标签等第八关则是考察了php的漏洞结合的xss，$_SERVER['PHP_SELF'] 第九关是DOM-XSS 其实xss漏洞也主要是这些，在CTF比赛中或者在实际的发掘漏洞中

1.2K5 0

360webscan防注入脚本全面绕过

那我们来看这个函数，这个函数第一个字段是白名单内容，我们在webscan_cache.php中可以找到： //后台白名单,后台操作将不会拦截,添加"|"隔开白名单目录下面默认是网址带 admin /...然后再给大家说明一下$_SERVER['PHP_SELF']是什么： PHP_SELF指当前的页面绝对地址，比如我们的网站： https://www.leavesongs.com/hehe.../index.php 那么PHP_SELF就是/hehe/index.php。 ...只要PHP_SELF中含有白名单字段即可。这也可以发散到很多cms上，php_self也是可控变量，注意过滤。 ...来测试一下看看，在本地搭建一个cmseasy，最新版20140118，提交一个含有敏感字符union select的查询，被360拦截了： ?

2.3K1 0

php+mysql原理分页+我的博客里面有核心解释

=$_GET['p']; /**2---根据页码取出数据：php->mysql处理**/ $host="localhost"; $username="root"; $password...$_SERVER['PHP_SELF']."?p=1'>首页"; $page_banner .= "下一页>"; $page_banner .= "尾页"; }else{ $page_banner .

2452 0

PHP最佳实践

（注：该设置已经在PHP 5.3中被废除。）...为了方便起见，建议声明$PHP_SELF = $_SERVER['PHP_SELF']。...名称空间（namespace）选择类和函数名的时候，必须很小心，避免出现重名。尽可能不要在类以外，放置全局性函数，类对内部的属性和方法，相当于有一层名称空间保护。...而且，数据库抽象层通常比系统本身的数据库函数，更易用一些。 5. "值对象"（Value Object, VO）值对象（VO）在形式上，就像C语言的struct结构。...php echo htmlspecialchars($PHP_SELF) ?

9081 0

Writeup-北邮新生赛MRCTF-Web题：套娃

"; $_SERVER['PHP_SELF'] = "/aaa/index.php"; 2，http://localhost/aaa/?...p=222"; $_SERVER['SCRIPT_NAME'] = "/aaa/index.php"; $_SERVER['PHP_SELF'] = "/aaa/index.php"; 3，http:/...p=222&q=333"; $_SERVER['SCRIPT_NAME'] = "/aaa/index.php"; $_SERVER['PHP_SELF'] = "/aaa/index.php"; 由实例可知...= 0 ) 这段代码表示需要满足"或"语句而其中的substr_count函数是用于计算子串在字符串中出现的次数再看看第二层判断条件 if($_GET['b_u_p_t'] !...> 可以简单的分析出secrettw.php的作用首先用if(isset($_POST['Merak']))函数检测是否存在参数名为Merak的POST数据，如果不存在则执行下面的语句，如果存在则执行

9592 0

PHP全栈学习笔记5

PHP全栈学习笔记5 php与mysql数据库，PHP支持很多数据库，与mysql为牛逼组合，mysql数据库的基础知识的掌握是由必要的，要了解如何操作mysql数据库，数据表的方法。...$_SERVER['PHP_SELF']."?page=1".$anothersearchstr." class=".$class."...>上一页"; }else{ $str.="下一页"; }else{ $str.="下一页"; } $str.=" "; $str.="<a href=".$_SERVER['<em>PHP_SELF</em>']."?

1.6K2 0

实例讲解PHP表单

通过 GET 方法从表单发送的信息对任何人都是可见的（所有变量名和值都显示在 URL 中）。GET 对所发送信息的数量也有限制。限制在大约 2000 个字符。 GET 可用于发送非敏感的数据。...提示：开发者偏爱 POST 来发送表单数据。表单验证 htmlspecialchars() 函数如果要将表单提交给页面本身，而不是跳转到另一张页面。...php echo htmlspecialchars($_SERVER["PHP_SELF"]);? " （1）什么是 $_SERVER[“PHP_SELF”] 变量？...$_SERVER[“PHP_SELF”] 是一种超全局变量，它返回当前执行脚本的文件名。因此，$_SERVER[“PHP_SELF”] 将表单数据发送到页面本身，而不是跳转到另一张页面。...php echo htmlspecialchars($_SERVER["PHP_SELF"]);?

7.2K2 0

一段困扰许久的防注入代码

在一些网站通常会在公用文件引入全局防护代码，因此，我收集了网络上常见的PHP全局防护代码进行分析。...$_SERVER["PHP_SELF"]."提交方式: ".$_SERVER["REQUEST_METHOD"]."提交参数: ".$StrFiltKey."提交数据: "....$_SERVER["PHP_SELF"]."提交方式: ".$_SERVER["REQUEST_METHOD"]."提交参数: ".$StrFiltKey."提交数据: "....（3）绕过姿势 PHP测试版本：5.2.17 当填充字符串超过10w的时候，可以绕过防注入代码，获取数据库信息。 ?...PHP测试版本：5.3.29 当填充字符串超过100w的时候，可以绕过防注入代码，获取数据库信息。 ? 参考文章： https://www.t00ls.net/viewthread.php?

9691 0

新手小白都能搭建的留言系统

NULL, message TEXT NOT NULL, created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP );从上面不难看出，我也在留言数据上加了一个发布时间...我们要获取数据的话，可以创建一个config.php文件用于保存数据库信息，具体操作可以看我之前的文章。然后后端调用这个config.php文件，如下：在这里我对留言为空的状态，都做了相应的提示，其实这里直接也可以在input组件上设置“required”属性就行了，我只是习惯这样去写。然后为了跟主站保持统一，也是使用的bootstrap来布局。...php echo htmlspecialchars($_SERVER["PHP_SELF"]); ?

1252 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云