$_SERVER['PHP_SELF'] или стария синтаксис $PHP_SELF е суперглобална променлива, която ти дава името на файла на който потребителя се намира в момента. Най-често се използва при форми и при линкове.

<form action=”<? echo $_SERVER['PHP_SELF']; ?>” method=”POST”>

Виждате нормална логин форма.



Възможно е да я прецакате със login.php/”<h1>XSS</h1> в линка.



Както можете да видите HTML кода в линка се вкарва в сайта. Бъдете сигурни че е възможно да се вкара всеки HTML, CSS и JavaScript код.

Този метод е наречен Cross Site Scripting (XSS) и е често използван за фишинг.

Всеки PHP_SELF трябва да бъде филтриран, с функция като htmlentities();

<form action=”<? echo htmlentities($_SERVER['PHP_SELF'], ENT_QUOTES); ?>” method=”POST”>