PHP_SELF и SCRIPT_NAME - издание XSS-атак

Question

PHP_SELF открывает страницу для атак XSS, когда включен код типа echo $_SERVER['PHP_SELF'], но как насчет SCRIPT_NAME? Так как это не включает информацию о пути, безопасно ли это использовать? Я знаю, что вы можете использовать htmlentities и другие подобные функции для очистки, но я бы предпочел избежать дополнительного вызова функции.

Я совершенно уверен, что его можно было бы безопасно использовать, но я бы хотел, чтобы сообщество SO ободрилось:)

Answer 1

Как хорошая практика, вы всегда должны защищать от любых переменных из $ _SERVER, $ _GET, $ _POST и т. Д.

$str = filter_var($input, FILTER_SANITIZE_STRING);

Простой способ очистки строки или использование htmlentities.Я создаю класс, который использую при возврате любых переменных из $ _SERVER, $ _GET и $ _POST.