Maison >développement back-end >tutoriel php >Quelles variables $_SERVER peuvent être utilisées en toute sécurité en PHP ?

Quelles variables $_SERVER peuvent être utilisées en toute sécurité en PHP ?

DDD
DDDoriginal
2024-11-11 00:55:03561parcourir

Which $_SERVER Variables Are Safe to Use in PHP?

Identification des variables $_SERVER sûres

Les attaquants peuvent exploiter les variables que les utilisateurs peuvent contrôler, les rendant dangereuses ou « entachées ». Cet article vise à fournir une liste complète des variables $_SERVER et de leurs niveaux de sécurité respectifs.

Contrôlé par le serveur

Ces variables sont définies par le serveur et ne sont pas affectées par l'utilisateur. entrée :

  • 'GATEWAY_INTERFACE'
  • 'SERVER_ADDR'
  • 'SERVER_SOFTWARE'
  • 'DOCUMENT_ROOT'
  • 'SERVER_ADMIN'
  • 'SERVER_SIGNATURE'

Partiellement contrôlé par le serveur

Ces variables dépendent de la demande du client mais ont des valeurs valides limitées, ce qui les rend fiables :

  • 'HTTPS'
  • 'REQUEST_TIME'
  • 'REMOTE_ADDR' (vérifié par prise de contact TCP/IP)
  • 'REMOTE_HOST' (potentiellement usurpable )
  • 'REMOTE_PORT'
  • 'SERVER_PROTOCOL'
  • 'HTTP_HOST' (Si non géré par le serveur)
  • 'SERVER_NAME'
  • 'SCRIPT_FILENAME'
  • 'SERVER_PORT'
  • 'SCRIPT_NAME'

Contrôlé par l'utilisateur entièrement arbitraire

Ces variables sont vulnérable à la manipulation de l'utilisateur :

  • 'argv', 'argc'
  • 'REQUEST_METHOD'
  • 'QUERY_STRING'
  • 'HTTP_ACCEPT'
  • 'HTTP_ACCEPT_CHARSET'
  • 'HTTP_ACCEPT_ENCODING'
  • 'HTTP_ACCEPT_LANGUAGE'
  • 'HTTP_CONNECTION'
  • 'HTTP_REFERER'
  • ' HTTP_USER_AGENT'
  • 'AUTH_TYPE'
  • 'PHP_AUTH_DIGEST'
  • 'PHP_AUTH_USER'
  • 'PHP_AUTH_PW'
  • 'PATH_INFO'
  • 'ORIG_PATH_INFO'
  • 'REQUEST_URI' (Peut contenir des données corrompues)
  • 'PHP_SELF' (Peut contenir des données corrompues)
  • 'PATH_TRANSLATED'
  • Toute autre valeur 'HTTP_'

Variables d'environnement

La sécurité des variables d'environnement dépend de leur source. Ils peuvent aller de entièrement contrôlés par le serveur à entièrement contrôlés par l'utilisateur.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn