php_self 安全,不要轻信 PHP_SELF的安全问题

系统管理员 2022-10-21 12:57 188阅读 0赞

复制代码 代码如下:

看似准确无误的代码，但是暗藏着危险。让我们将其保存为 foo.php ，然后放到 PHP 环境中使用foo.php/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cfoo

访问，会发现弹出个 Javascript 的 alert -- 这很明显又是个 XSS 的注入漏洞。究其原因，发现是在echo $\_SERVER\['PHP\_SELF'\];

这条语句上直接输出了未过滤的值。追根数源，我们看下 PHP 手册的描述'PHP\_SELF'

The filename of the currently executing script, relative to the document root.

For instance, $\_SERVER\['PHP\_SELF'\] in a script at the address

http://example.com/test.php/foo.bar would be /test.php/foo.bar. The \_\_FILE\_\_

constant contains the full path and filename of the current (i.e. included) file.

If PHP is running as a command-line processor this variable contains the script

name since PHP 4.3.0. Previously it was not available.

原因很明确了，原来是 $\_SERVER\['PHP\_SELF'\] 虽然“看起来”是服务器提供的环境变量，但这的确和 $\_POST 与 $\_GET 一样，是可以被用户更改的。

其它类似的变量有很多，比如 $\_COOKIE 等(如果用户想“把玩”他们的 cookie，那我们也是没有办法)。解决方案很简单，使用 strip\_tags、htmlentities 等此类函数过滤或者转义。echo htmlentities($\_SERVER\['PHP\_SELF'\]);

\-- Split --

上述的例子让我们需要时刻保持谨慎 coding 的心态。Chris Shiflett 在他的 Blog 总结的相当直白，防止 XSS 的两个基本的安全思想就是Filter input

Escape output

我将上面翻译成 “过滤输入，转义输出”。详细的内容，可以参考他 Blog 的这篇文章，此处略。

本文原创发布php中文网，转载请注明出处，感谢您的尊重！

发表评论取消回复

表情：

评论列表（有 0 条评论，188人围观）

还没有评论，来说两句吧...

相关阅读

相关 MySQL服务器安全配置不当引发的安全问题实例

在MySQL服务器安全配置不当的情况下，可能会引发一系列安全问题。以下是一个具体的例子： 1. **弱口令**：如果MySQL服务器的默认或管理员账户使用了简单的密码（如"p

超、凢脫俗/ 2025年02月18日 13:33/ 0 赞/ 11 阅读

相关 MySQL安全配置不当引发的安全问题

在MySQL数据库管理中，如果安全配置不当，可能会引发多种安全问题。以下是一些常见的安全问题： 1. **数据库权限滥用**：如果用户账户没有正确的权限限制，他们可能访问、修

客官°小女子只卖身不卖艺/ 2025年01月17日 12:45/ 0 赞/ 39 阅读

相关 Oracle数据库安全策略不合理引发的安全问题

在Oracle数据库中，如果安全策略设置不合理，可能会引发多种安全问题。以下是一些典型的情况： 1. 权限不足：如果用户的权限不足以访问所需的数据或执行特定的事务，就可能导致

青旅半醒/ 2024年12月23日 05:06/ 0 赞/ 58 阅读

相关 Oracle安全配置不当引发的安全事件

在Oracle数据库中，如果安全配置不当，可能会引发一系列的安全事件。以下是一些常见的安全问题和可能引发的事件： 1. 访问控制不足：未正确设置用户权限，可能导致敏感信息被非

谁借莪１个温暖的怀抱￠/ 2024年12月21日 07:06/ 0 赞/ 52 阅读

相关 HashMap的不安全问题

在Java 1.7版本中，HashMap使用的是头插法解决哈希冲突的方式。这意味着当多个键映射到同一个槽时，它们被存储在一个链表中。在扩容时，由于头插法的使用，可能会导致链表中

╰半夏微凉°/ 2024年02月26日 04:16/ 0 赞/ 11 阅读

相关 SimpleDateFormat的线程不安全问题

一、前言日期的转换与格式化在项目中应该是比较常用的了一个问题：项目中的日期转换怎么用的？SimpleDateFormat 用过吗？能说一下 SimpleDateFo

╰半夏微凉°/ 2023年10月02日 19:44/ 0 赞/ 11 阅读

相关 scanf不安全，fgets安全

fgets函数原形 \include<stdio.h> char \fgets(char \s, int size, FILE \stream); fgets函数从

ゞ浴缸里的玫瑰/ 2023年06月07日 05:37/ 0 赞/ 17 阅读

相关 php_self 安全,不要轻信 PHP_SELF的安全问题

复制代码代码如下: 看似准确无误的代码，但是暗藏着危险。让我们将其保存为 foo.php ，然后放到 PHP 环境中使用foo.php/%22%3E%3Cscript%3E

系统管理员/ 2022年10月21日 12:57/ 0 赞/ 189 阅读

相关如何解决 HostnameVerifier 不安全的问题？

问题引入 `App`提交`Google Play`时，审核被拒，打回，信息如下： > 本文面向的是在应用中采用不安全的 `HostnameVerifier` 接口实施方

Myth丶恋晨/ 2022年05月15日 17:06/ 0 赞/ 303 阅读

相关 Java 线程安全和不安全

概念线程安全就是要让程序运行出我们想要的结果假设A和B同时去不同ATM上取同一张卡的1000块钱，如果是线程不安全，那么A和B可以同时取到1000块钱（两人赚大发啦

r囧r小猫/ 2021年09月19日 17:10/ 0 赞/ 512 阅读