zwws's 资料库 PHP|ASP.NET|Ajax|JavaScript|Web|网页设计

努力思考 + 实践, 眼高手低是不行的. 注册 | 登陆

浏览模式: 标准 | 列表2008年04月的文章

如何提高你的工作效率

Submitted by zwws on 2008, April 15, 1:21 PM

你是不是每天都很忙，却老是忙而无功？是不是感觉付出很多，得到的却只是老板的责骂？是不是没有一刻空闲，到总结时却说不出所完成的成果？

如果你已身心疲惫，但是一无所获，那么，你可能不是工作不努力，而是没有掌握提高工作效率的正确方法，在无意中浪费了你的生命。

下面的建议不是万能的“灵丹妙药”，但可以给你提高自己的工作效率提供一些有益的参考：

详见全文

Tags: 提高, 工作效率

Submitted by zwws on 2008, April 12, 5:00 PM

通常我们使用

PHP代码

$PHP_SELF = $_SERVER['PHP_SELF'] ? $_SERVER['PHP_SELF'] : $_SERVER['SCRIPT_NAME'];

来获得当前运行脚本的路径。但是在做一些URL拼合的过程中可能引发XSS跨站攻击。

示例：

PHP代码

<?php
$PHP_SELF = $_SERVER['PHP_SELF'] ? $_SERVER["PHP_SELF"] : $_SERVER["SCRIPT_NAME"];
echo '<a href="' . $PHP_SELF . '">aaa</a>';

解决方法：

PHP代码

$_SERVER['SCRIPT_NAME'] ? $_SERVER["SCRIPT_NAME"] : htmlspecialchars($_SERVER["PHP_SELF"]);

注解：使用http://localhost/script.php/%22%3E%3Cscript%3Ealert('lib3rt3')%3C/script%3E执行脚本时，$_SERVER['SCRIPT_NAME']值为/script.php，未包含恶意的脚本。另外，即使最终使用的是$_SERVER['PHP_SELF']的值，也会被htmlspecialchars转义。