Die bestehenden Antworten nehmen an, dass processForm.php nur Code enthält, und ist nicht die Seite in der "action" -Attribut des Formulars angegeben. Falls diese Annahme falsch ist, antworte ich, dass Sie diese Seite direkt zur Verarbeitung der POST-Anfrage verwenden möchten, die von Ihrem Formular generiert wurde, aber dass Sie verhindern wollen, dass irgendjemand versehentlich oder böswillig Code in dieser Datei ausführt.
In diesem Fall können Sie die Datei nicht verbergen, als empfohlen. Stattdessen könnten Sie ein Token verwenden, das erstellt wird, wenn das Formular angezeigt wird, in einer Sitzungsvariablen gespeichert ist, und auch mit der Form (< input type = „hidden“ .../>) vorgelegt. Bevor Sie eine Verarbeitung in processForm.php vornehmen, überprüfen Sie, ob das Token vorhanden ist und mit dem in der Sitzungsvariablen übereinstimmt. Außerdem sollten Sie immer alle Formulareingaben bereinigen. Es ist nicht zu stoppen, dass jemand, was immer Sie wollen, Ihr Skript einreicht, solange es im Web zugänglich ist.