不要轻信 PHP_SELF的安全问题

189 阅读 0 评论 125 点赞

我是靠谱客的博主轻松草丛，最近开发中收集的这篇文章主要介绍不要轻信 PHP_SELF的安全问题，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

复制代码代码如下:

<html> 
<body> 
<?php 
if (isset($_REQUEST['submitted']) && $_REQUEST['submitted'] == '1') { 
echo "Form submitted!"; 
} 
?> 
<form action="<?php echo $_SERVER['PHP_SELF']; ?>"> 
<input type="hidden" name="submitted" value="1" /> 
<input type="submit" value="Submit!" /> 
</form> 
</body> 
</html>

看似准确无误的代码，但是暗藏着危险。让我们将其保存为 foo.php ，然后放到 PHP 环境中使用

foo.php/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cfoo

访问，会发现弹出个 Javascript 的 alert -- 这很明显又是个 XSS 的注入漏洞。究其原因，发现是在

echo $_SERVER['PHP_SELF'];

这条语句上直接输出了未过滤的值。追根数源，我们看下 PHP 手册的描述

'PHP_SELF'

The filename of the currently executing script, relative to the document root. 
For instance, $_SERVER['PHP_SELF'] in a script at the address 
http://example.com/test.php/foo.bar would be /test.php/foo.bar. The __FILE__ 
constant contains the full path and filename of the current (i.e. included) file.
If PHP is running as a command-line processor this variable contains the script 
name since PHP 4.3.0. Previously it was not available.

原因很明确了，原来是 $_SERVER['PHP_SELF'] 虽然“看起来”是服务器提供的环境变量，但这的确和 $_POST 与 $_GET 一样，是可以被用户更改的。

其它类似的变量有很多，比如 $_COOKIE 等（如果用户想“把玩”他们的 cookie，那我们也是没有办法）。解决方案很简单，使用 strip_tags、htmlentities 等此类函数过滤或者转义。

echo htmlentities($_SERVER['PHP_SELF']);

-- Split --

上述的例子让我们需要时刻保持谨慎 coding 的心态。Chris Shiflett 在他的 Blog 总结的相当直白，防止 XSS 的两个基本的安全思想就是

Filter input
Escape output

我将上面翻译成 “过滤输入，转义输出”。详细的内容，可以参考他 Blog 的这篇文章，此处略。

最后

以上就是轻松草丛为你收集整理的不要轻信 PHP_SELF的安全问题的全部内容，希望文章能够帮你解决不要轻信 PHP_SELF的安全问题所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供，作为学习参考使用，或来自网络收集整理，版权属于原作者所有。

本文分类：PHP编程
浏览次数：189 次浏览
发布日期：2022-04-08 05:58:03
本文链接：https://www.kaopuke.com/article/k-p-k_13_u_7_okf4_13__23_g_27_.html

不要轻信 PHP_SELF的安全问题

概述

最后

评论列表共有 0 条评论

发表评论取消回复

不要轻信 PHP_SELF的安全问题

概述

最后

相关文章

评论列表共有 0 条评论

发表评论 取消回复

发表评论取消回复