PHP 使用 $_SERVER['PHP_SELF'] 获取当前页面地址及其安全性问题

龍子

PHP $_SERVER['PHP_SELF']　　
$_SERVER['PHP_SELF'] 表示当前 php 文件相对于网站根目录的位置地址，与 document root 相关。
　　
假设我们有如下网址，$_SERVER['PHP_SELF']得到的结果分别为：
　　
http://www.5idev.com/php/ ：/php/index.php
　　
http://www.5idev.com/php/index.php ：/php/index.php
　　
http://www.5idev.com/php/index.php?test=foo ：/php/index.php
　　
http://www.5idev.com/php/index.php/test/foo ：/php/index.php/test/foo
　　
因此，可以使用 $_SERVER['PHP_SELF'] 很方便的获取当前页面的地址：
　　
$url = "http://".$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'];
　　
以上面的地址为例，得到的结果如下：
　　
http://www.5idev.com/php/index.php
　　
上面是简单获取 http 协议的当前页面 URL ，只是要注意该地址是不包含 URL 中请求的参数（?及后面的字串）的。如果希望得到包含请求参数的完整 URL 地址，请使用 $_SERVER['REQUEST_URI'] 。
　　
PHP $_SERVER['PHP_SELF'] 安全性
　　
由于利用 $_SERVER['PHP_SELF'] 可以很方便的获取当前页面地址，因此一些程序员在提交表单数据到当前页面进行处理时，往往喜欢使用如下这种方式：