php_self 安全,不要轻信 PHP_SELF的安全问题

系统管理员 2022-10-21 12:57 113阅读 0赞

复制代码 代码如下:

看似准确无误的代码，但是暗藏着危险。让我们将其保存为 foo.php ，然后放到 PHP 环境中使用foo.php/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cfoo

访问，会发现弹出个 Javascript 的 alert -- 这很明显又是个 XSS 的注入漏洞。究其原因，发现是在echo $\_SERVER\['PHP\_SELF'\];

这条语句上直接输出了未过滤的值。追根数源，我们看下 PHP 手册的描述'PHP\_SELF'

The filename of the currently executing script, relative to the document root.

For instance, $\_SERVER\['PHP\_SELF'\] in a script at the address

http://example.com/test.php/foo.bar would be /test.php/foo.bar. The \_\_FILE\_\_

constant contains the full path and filename of the current (i.e. included) file.

If PHP is running as a command-line processor this variable contains the script

name since PHP 4.3.0. Previously it was not available.

原因很明确了，原来是 $\_SERVER\['PHP\_SELF'\] 虽然“看起来”是服务器提供的环境变量，但这的确和 $\_POST 与 $\_GET 一样，是可以被用户更改的。

其它类似的变量有很多，比如 $\_COOKIE 等(如果用户想“把玩”他们的 cookie，那我们也是没有办法)。解决方案很简单，使用 strip\_tags、htmlentities 等此类函数过滤或者转义。echo htmlentities($\_SERVER\['PHP\_SELF'\]);

\-- Split --

上述的例子让我们需要时刻保持谨慎 coding 的心态。Chris Shiflett 在他的 Blog 总结的相当直白，防止 XSS 的两个基本的安全思想就是Filter input

Escape output

我将上面翻译成 “过滤输入，转义输出”。详细的内容，可以参考他 Blog 的这篇文章，此处略。

本文原创发布php中文网，转载请注明出处，感谢您的尊重！

发表评论取消回复

表情：

评论列表（有 0 条评论，113人围观）

还没有评论，来说两句吧...

相关阅读

相关 HashMap的不安全会导致什么问题

HashMap的不安全会导致什么问题可能出现的问题 1. 竞态条件（Race Condition） 2. 数据丢失 3.

小鱼儿/ 2023年10月13日 23:06/ 0 赞/ 64 阅读

相关 php_self 安全,不要轻信 PHP_SELF的安全问题

复制代码代码如下: 看似准确无误的代码，但是暗藏着危险。让我们将其保存为 foo.php ，然后放到 PHP 环境中使用foo.php/%22%3E%3Cscript%3E

系统管理员/ 2022年10月21日 12:57/ 0 赞/ 114 阅读

相关 Redis--安全问题

原文网址：[Redis--安全问题\_IT利刃出鞘的博客-CSDN博客][Redis--_IT_-CSDN] 其他网址 [Redis安全注意事项\_铁锚的CSDN博客-

小灰灰/ 2022年09月04日 14:52/ 0 赞/ 146 阅读

相关 servlet安全问题

摘要：介绍了Servlet多线程机制，通过一个实例并结合Java 的内存模型说明引起Servlet线程不安全的原因，给出了保证Servlet线程安全的三种解决方案，并说明三种

超、凢脫俗/ 2022年07月17日 03:47/ 0 赞/ 126 阅读

相关前端安全问题

（XSS，sql注入，CSRF） CSRF：是跨站请求伪造，很明显根据刚刚的解释，他的核心也就是请求伪造，通过伪造身份提交POST和GET请求来进行跨域的攻击。

朱雀/ 2022年07月15日 09:40/ 0 赞/ 128 阅读

相关安全问题

1、会话标识未更新&会话 cookie 中缺少 HttpOnly 属性 useHttpOnly="true" sessionCookieName="test" (server

布满荆棘的人生/ 2022年07月13日 01:28/ 0 赞/ 159 阅读

相关如何解决 HostnameVerifier 不安全的问题？

问题引入 `App`提交`Google Play`时，审核被拒，打回，信息如下： > 本文面向的是在应用中采用不安全的 `HostnameVerifier` 接口实施方

Myth丶恋晨/ 2022年05月15日 17:06/ 0 赞/ 206 阅读

相关 SimpleDateFormat线程不安全导致的问题

[转载][Link 1] 线程安全日期格式化操作的几种方式由于 `DateFormat` 是非线程安全的，因此在多线程并发情况下日期格式化时需要特别注意。下面记录几种

一时失言乱红尘/ 2022年04月16日 03:23/ 0 赞/ 234 阅读

相关单例模式（多线程不安全，序列化不安全，反射不安全实例）

<pre name="code" class="html">import java.io.FileInputStream; import java.io.Fil

缺乏、安全感/ 2022年03月21日 04:37/ 0 赞/ 181 阅读

相关 Java 线程安全和不安全

概念线程安全就是要让程序运行出我们想要的结果假设A和B同时去不同ATM上取同一张卡的1000块钱，如果是线程不安全，那么A和B可以同时取到1000块钱（两人赚大发啦

r囧r小猫/ 2021年09月19日 17:10/ 0 赞/ 378 阅读