$ smarty-> اختصاص ("عمل" ، $ _SERVER ["PHP_SELF"])؛

PHP_SELF مشتری را توسط مرورگر تنظیم می کند ، بنابراین می تواند توسط یک مهاجم اصلاح شود. آیا "عمل" Smarty به قسمت اقدام عملی فرم اختصاص داده شده است؟
آیا یک مهاجم می تواند کنترل کند که داده های POST ارسال می شود یا متغیرهای تنظیم شده در سمت سرور را مشاهده می کند؟

آیا عیب های دیگری با این عبارت وجود دارد؟