検索
ホームページphp教程php手册PHP_SELF のセキュリティ問題を信用しないでください

PHP_SELF のセキュリティ問題を信用しないでください

Jun 13, 2016 pm 12:22 PM
bodyhtmlissetphprequestselfコードコピー安全性質問

コードをコピーします コードは次のとおりです。



;?php
if (isset($_REQUEST['submitted']) && $_REQUEST['submitted'] == '1') {
echo "フォーム送信済み!"
}
; ?>








コードは正しいように見えますが、隠れた危険があります。 foo.php として保存し、PHP 環境で使用してみましょう

foo.php/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cfoo
アクセスすると、JavaScript アラートがポップアップ表示されます。これは明らかに、別の

XSS インジェクション脆弱性です。理由は

にあります。
echo $_SERVER['PHP_SELF'];
フィルタリングされていない値は、このステートメントに直接出力されます。ソースをたどるために、PHP マニュアルの記述を見てみましょう

'PHP_SELF'<br><br>The filename of the currently executing script, relative to the document root. <br>For instance, $_SERVER['PHP_SELF'] in a script at the address <br>http://example.com/test.php/foo.bar would be /test.php/foo.bar. The __FILE__ <br>constant contains the full path and filename of the current (i.e. included) file.<br>If PHP is running as a command-line processor this variable contains the script <br>name since PHP 4.3.0. Previously it was not available. 
その理由は非常に明らかです。$_SERVER['PHP_SELF'] はサーバーによって提供される環境変数であるように見えますが、実際には $_POST および $_GET と同じであり、ユーザー。

$_COOKIE など、他にも同様の変数が多数あります (ユーザーが Cookie を「操作」したい場合、私たちにできることは何もありません)。解決策は簡単です。

strip_tagshtmlentities などの関数を使用してフィルタリングまたはエスケープします。

echo htmlentities($_SERVER['PHP_SELF']); 

-- 分割 --

上記の例では、常に慎重なコーディング精神を維持する必要があります。 Chris Shiflett は、XSS を防ぐための 2 つの基本的なセキュリティのアイデアをブログ

で非常にわかりやすくまとめています。 上記を「

入力をフィルターし、出力をエスケープ
Filter input<br>Escape output
」に翻訳しました。詳しい内容は、ここでは割愛しますが、彼のブログ

の記事をご参照ください。

声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

mPDF

mPDF

mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。

SublimeText3 Linux 新バージョン

SublimeText3 Linux 新バージョン

SublimeText3 Linux 最新バージョン

VSCode Windows 64 ビットのダウンロード

VSCode Windows 64 ビットのダウンロード

Microsoft によって発売された無料で強力な IDE エディター

SAP NetWeaver Server Adapter for Eclipse

SAP NetWeaver Server Adapter for Eclipse

Eclipse を SAP NetWeaver アプリケーション サーバーと統合します。

Safe Exam Browser

Safe Exam Browser

Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。