Spero di non sbagliare sezione ma parlando di php e sicurezza non so mai se inserire qui o in sicurezza.

Sperando che i ritorni dalla vacanze diano risultati in risposte e consigli.

Con il web vulnerability scanno il mio sito, mi segnala alcuni file vulnerabili a XSS, un file in particolare signup.php, in questo file nel form cambio la stringa:

<form action=$_[PHP_SELF] in

<form action=($_SERVER[PHP_SELF]) e successivamente in

<form action=htmlentities($_SERVER[PHP_SELF])....... e fin qui penso tutto sia ok a una nuova scannerizzazione non mi segnala più il file come vulnerabile al normale XSS.

Ma......... e qui per me viene il bello lo stesso file viene segnalato come vulnerabile ad attacchi XSS in URI dicendomi che le varianti PHP_SELF, REQUEST_URI, SCRIPT_URL, SCRIPT_URI non sono fissate.

Oltre alla stringa di cui sopra del "form" ho solo un altra che è questa:

<a href=$_SERVER[PHP_SELF]?terms target=_blank>

come mai il file risulta vulnerabile alle xss uri????
cosa devo modificare.

grazie per l imboccata in modo che possa continuare da solo, tenete presente che non sono esperto.