Για τη
διεύθυνση του target υπάρχουν δύο
τρόποι 1.χρησιμοποιώντας το relative url του target αρχείου και 2.
χρησιμοποιώντας το absolute url
1.με το relative url
Αρχίζεις
από τον κατάλογο που είναι η φόρμα και πρέπει να γράψεις το url σε σχέση με αυτό τον κατάλογο. Αν θέλεις να
μπεις σε folder βάζεις το όνομα
του folder και αν θέλεις να πας
ένα folder πάνω βάζεις ../
π.χ.
Αν
έχεις τη φόρμα και το target αρχείο
στον ίδιο κατάλογο
<form
action="target.php"
method="POST">
Αν το target βρίσκεται σε ένα κατάλογο (π.χ. με όνομα
my_folder) που βρίσκεται μέσα στον
κατάλογο που περιέχει τη φόρμα
<form
action="my_folder/target.php"
method="POST">
Αν το target βρίσκεται ένα κατάλογο πάνω από τον
κατάλογο που περιέχει τη φόρμα
<form
action="../target.php"
method="POST">
2. με
το absolute url.
Βάζεις
το πλήρες url για το target αρχείο.
π.χ.
<form
action="http://www.my_site.com/my_folder/target.php" method="POST">Συνηθίζεται
να χρησιμοποιούνται τα relative urls παντού για να μπορείς να μεταφέρεις εύκολα το site
σε ένα άλλο server χωρίς να αλλάζεις όλα τα url. (π.χ. αν το μεταφέρεις από το τοπικό development
server στον production server)
Δεν
υπάρχει περιορισμός να βρίσκεται η φόρμα και το target στον ίδιο server. Ο
οποιοσδήποτε μπορεί να κάνει μια δική του φόρμα από οπουδήποτε θέλει ώστε να
στείλει δεδομένα στο target.php χωρίς
να χρησιμοποιήσει τη δική σου φόρμα. Απλά χρησιμοποιεί το absolute url του target.php.
Αυτό λέγεται form spoofing και είναι μια από τις πιο απλές μορφές επιθέσεων.
Χρησιμοποιείται
από κάποιον που θέλει να παρακάμψει το client side
(javascript) validation των πεδίων της φόρμας. Γι αυτό το validation με javascript
δεν είναι ιδιαίτερα ασφαλές και πάντοτε πρέπει να γίνεται
και server side validation με php.