0

0

PHPself关键字怎样使用_PHPself关键字使用场景【场景】

蓮花仙者

蓮花仙者

发布时间:2026-02-24 22:30:46

|

128人浏览过

|

来源于php中文网

原创

phpself关键字怎样使用_phpself关键字使用场景【场景】

PHP 中 $_SERVER['PHP_SELF'] 是什么,它到底干啥用的

它不是“关键字”,是 $_SERVER 超全局数组里的一个预定义键,值为当前执行脚本的文件路径(相对于 Web 根目录),比如访问 /user/profile.php$_SERVER['PHP_SELF'] 就是 /user/profile.php。常被误当成安全的表单提交地址——但其实它根本不校验来源、不防篡改、也不处理 URL 参数。

为什么直接写 <form action="<?=%24_SERVER['PHP_SELF']?>"></form> 很危险

因为攻击者能通过 URL 注入任意内容,比如访问 /login.php/%22%3E%3Cscript%3Ealert(1)%3C/script%3E$_SERVER['PHP_SELF'] 会原样返回带闭合引号和 script 标签的路径,导致 XSS。

  • 浏览器看到的是:<form action="/login.php/"> <script>alert(1)</script>"></form>
  • 表单标签被提前闭合,后面 script 执行
  • 即使你对用户输入做了过滤,$_SERVER['PHP_SELF'] 的值根本没经过你的过滤逻辑
  • 它还可能包含查询参数(如 ?id=123),导致重复提交时 URL 越来越长

更安全的替代方案:明确指定目标脚本或用空字符串

多数场景下,你根本不需要动态拼路径。表单提交给自己,就该知道自己的文件名;如果不确定,宁可硬编码或用更可控的方式生成路径。

  • 最稳妥:<form action="profile.php"></form>(明确文件名)
  • 同目录提交可留空:<form action=""></form>(浏览器自动提交到当前 URL,不含查询参数)
  • 需要保留 GET 参数?别依赖 $_SERVER['PHP_SELF'],自己用 http_build_query() 拼接:$safe_action = $_SERVER['SCRIPT_NAME'] . '?' . http_build_query($_GET);,注意 SCRIPT_NAME 不含查询串,比 PHP_SELF 更干净
  • 绝对不要用 htmlspecialchars($_SERVER['PHP_SELF']) 来“修复”——它只能防部分 XSS,但无法阻止路径遍历或参数污染,属于掩耳盗铃

$_SERVER['PHP_SELF'] 唯一还算合理的使用场景

仅限服务端内部日志、调试或路由分发(且必须配合白名单校验)。比如一个简易前端控制器判断请求是否命中某个模块:

时代购物
时代购物

具有分类浏览商品或使用搜索工具查找商品,可按价格、商品分类、关键字搜索商品,可打印订单的详细信息以及电子邮件通知,保存购物车,查看购物车,清空购物车,查看已经提交的订单,会员注册、享受会员价格,会员登录,市场价,会员价和VIP会员价的比较,为朋友订购商品(送礼物的好办法哦), 完整的客户服务中心,新品上架展示区,推荐商品展示区,特价商品展示区,销售排行展示区,关注排行展示区阅读、发表商品评论信息并

下载

立即学习PHP免费学习笔记(深入)”;

$path = parse_url($_SERVER['PHP_SELF'], PHP_URL_PATH);
if (in_array($path, ['/admin.php', '/api.php'])) {
    // 允许的入口点
}

这里关键在 in_array() 白名单校验——没有这层,PHP_SELF 的任何用途都等同于把解析权交给攻击者。

真正容易被忽略的是:它返回的路径是未经解码的原始 URL 路径,%2F 不会被自动转成 /parse_url()basename() 处理前,得先 urldecode(),否则白名单校验会失效。

相关文章

PHP速学教程(入门到精通)
PHP速学教程(入门到精通)

PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!

下载

相关标签:

本站声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
js 字符串转数组
js 字符串转数组

js字符串转数组的方法:1、使用“split()”方法;2、使用“Array.from()”方法;3、使用for循环遍历;4、使用“Array.split()”方法。本专题为大家提供js字符串转数组的相关的文章、下载、课程内容,供大家免费下载体验。

638

2023.08.03

js截取字符串的方法
js截取字符串的方法

js截取字符串的方法有substring()方法、substr()方法、slice()方法、split()方法和slice()方法。本专题为大家提供字符串相关的文章、下载、课程内容,供大家免费下载体验。

217

2023.09.04

java基础知识汇总
java基础知识汇总

java基础知识有Java的历史和特点、Java的开发环境、Java的基本数据类型、变量和常量、运算符和表达式、控制语句、数组和字符串等等知识点。想要知道更多关于java基础知识的朋友,请阅读本专题下面的的有关文章,欢迎大家来php中文网学习。

1558

2023.10.24

字符串介绍
字符串介绍

字符串是一种数据类型,它可以是任何文本,包括字母、数字、符号等。字符串可以由不同的字符组成,例如空格、标点符号、数字等。在编程中,字符串通常用引号括起来,如单引号、双引号或反引号。想了解更多字符串的相关内容,可以阅读本专题下面的文章。

642

2023.11.24

java读取文件转成字符串的方法
java读取文件转成字符串的方法

Java8引入了新的文件I/O API,使用java.nio.file.Files类读取文件内容更加方便。对于较旧版本的Java,可以使用java.io.FileReader和java.io.BufferedReader来读取文件。在这些方法中,你需要将文件路径替换为你的实际文件路径,并且可能需要处理可能的IOException异常。想了解更多java的相关内容,可以阅读本专题下面的文章。

1027

2024.03.22

php中定义字符串的方式
php中定义字符串的方式

php中定义字符串的方式:单引号;双引号;heredoc语法等等。想了解更多字符串的相关内容,可以阅读本专题下面的文章。

980

2024.04.29

go语言字符串相关教程
go语言字符串相关教程

本专题整合了go语言字符串相关教程,阅读专题下面的文章了解更多详细内容。

186

2025.07.29

c++字符串相关教程
c++字符串相关教程

本专题整合了c++字符串相关教程,阅读专题下面的文章了解更多详细内容。

89

2025.08.07

Golang 生态工具与框架:扩展开发能力
Golang 生态工具与框架:扩展开发能力

《Golang 生态工具与框架》系统梳理 Go 语言在实际工程中的主流工具链与框架选型思路,涵盖 Web 框架、RPC 通信、依赖管理、测试工具、代码生成与项目结构设计等内容。通过真实项目场景解析不同工具的适用边界与组合方式,帮助开发者构建高效、可维护的 Go 工程体系,并提升团队协作与交付效率。

1

2026.02.24

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PHP课程
PHP课程

共137课时 | 12.4万人学习

JavaScript ES5基础线上课程教学
JavaScript ES5基础线上课程教学

共6课时 | 11.3万人学习

PHP新手语法线上课程教学
PHP新手语法线上课程教学

共13课时 | 0.9万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号