Необходимо ли использовать следующее?Почему бы не использовать действие формы ""?
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>
Почему не <form method="post" action=""> ?
Может кто-нибудь взломать action=""?
Атрибут действия в этом случае не требуется, только если вы хотите сохранить скрипт метода в другом файле, например.
Я не уверен, что вы подразумеваете под «Может ли кто-то взломать действие =» «», но это не имеет никакого отношения к тому, что взломали, если вы проверяете ввод сообщения пользователем, и вы должны быть в порядке ,
Я вижу на некоторых сайтах, что если на вашей странице используется «PHP_SELF», тогда пользователь может ввести косую черту (/), а затем выполнить команды Cross-Site Scripting (XSS) для выполнения. См. Эту ссылку: http://www.html-form-guide.com/php-form/php-form-action-self.html –
Кто сказал, что вы не должны использовать 'action =" "'? – kero
Оба делают то же самое. Если 'htmlspecialchars()' были опущены, то это будет другой мяч. –
Почему бы не '