Zitat:
Zitat von Heinrich
<?php $_SERVER['PHP_SELF'] ?> mag sinnfrei sein... jedenfalls funktioniert es...Dürfte es das nicht?
|
Ohne echo tut es nichts. Also sinnfrei.
Mit echo ist es eine Gefahr.
HTML vor 5 erwartet zwingend das action Attribut.
Es darf leer sein. Dann füllt der Browser es, wie er es für richtig erachtet.
In HTML5 darf das action Attribut fehlen, wenn es aber vorhanden ist, dann muss es auch (sinnvoll) gefüllt sein.
Zu: $_SERVER['PHP_SELF']
Meist ist $_SERVER['SCRIPT_NAME'] angemessener.
Aber auf manchen Systemen ermöglicht auch dieses XSS Attacken.
Prüfe das vor der Verwendung.