将$ _SERVER ['PHP_SELF']和$ _GET组合在动作表单属性中是否存在任何安全问题:
$id = $_GET['id'];
echo "<form name='name' action='".htmlspecialchars($_SERVER['PHP_SELF']."?id=".urlencode($id), ENT_QUOTES, 'utf-8')."' method='post'></form>";
这是使用htmlspecialchars和urlencode的正确方法吗?
干杯,
尼古拉