四虎精品视频-四虎精品成人免费网站-四虎黄色网-四虎国产视频-国产免费91-国产蜜臀97一区二区三区

不要輕信 PHP_SELF的安全問題

復制代碼 代碼如下:
<html>
<body>
<?php
if (isset($_REQUEST['submitted']) && $_REQUEST['submitted'] == '1') {
echo "Form submitted!";
}
?>
<form action="<?php echo $_SERVER['php_SELF']; ?>">
<input type="hidden" name="submitted" value="1" />
<input type="submit" value="Submit!" />
</form>
</body>
</html>

看似準確無誤的代碼,但是暗藏著危險。讓我們將其保存為 foo.php ,然后放到 php 環境中使用

foo.php/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cfoo

訪問,會發現彈出個 Javascript 的 alert -- 這很明顯又是個 XSS 的注入漏洞。究其原因,發現是在

echo $_SERVER['php_SELF'];

這條語句上直接輸出了未過濾的值。追根數源,我們看下 php 手冊的描述

'php_SELF'

The filename of the currently executing script, relative to the document root.
For instance, $_SERVER['php_SELF'] in a script at the address
http://example.com/test.php/foo.bar would be /test.php/foo.bar. The __FILE__
constant contains the full path and filename of the current (i.e. included) file.
If php is running as a command-line processor this variable contains the script
name since php 4.3.0. Previously it was not available.

原因很明確了,原來是 $_SERVER['php_SELF'] 雖然“看起來”是服務器提供的環境變量,但這的確和 $_POST 與 $_GET 一樣,是可以被用戶更改的。

其它類似的變量有很多,比如 $_COOKIE 等(如果用戶想“把玩”他們的 cookie,那我們也是沒有辦法)。解決方案很簡單,使用 strip_tags、htmlentities 等此類函數過濾或者轉義。

echo htmlentities($_SERVER['php_SELF']); 

-- Split --

上述的例子讓我們需要時刻保持謹慎 coding 的心態。Chris Shiflett 在他的 Blog 總結的相當直白,防止 XSS 的兩個基本的安全思想就是

Filter input
Escape output

我將上面翻譯成 “過濾輸入,轉義輸出”。詳細的內容,可以參考他 Blog 的這篇文章,此處略。

php技術不要輕信 PHP_SELF的安全問題,轉載需保留來源!

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。

主站蜘蛛池模板: 黄视频免费在线观看| 美女出水| 久草电影| 壁纸超清全屏| 女友的男朋友| 齐力电影| 简单的公告范文| 金鸳鸯| 农民工野外一级毛片| 田中敦子| 大决战全部演员表介绍图片| 那年秋天| 免费看污视频在线观看| 富含维生素c的水果和蔬菜| 艳肉观世音性三级| 第一财经直播电视直播今日股市| 职业目标评估| 小丑2双重疯狂免费播放在线观看 李保田最经典十部电影 | 德国老太性视频播放| zeka| 樊城电影| 美少女战士奥特曼| 来5566看av激情电影使劲撸| www.douyin.com| 张俪写真集照片| 奇门遁甲免费讲解全集| 少先队应知应会知识题库及答案| 极品电影网| 电影暖| 女王眼泪| 外国小哥街头索吻狂魔| 陈诗雅韩国演员| 小镇追凶电影在线观看| 变形金刚7免费高清电影| 《禁忌2》在线观看| va视频在线| 日本女人xxx| 重启之极海听雷2免费版在线播放| 电影《遗产》韩国丧尸| 二次元炫酷帅气壁纸| 白色橄榄树啥时候播出|