繁体 English 中英

$ _SERVER ['PHP_SELF']漏洞不“起作用”吗？

[英]$_SERVER['PHP_SELF'] vulnerability not “working”?

原文 2012-11-06 09:23:52 4 1 php/ security

看着客户的旧代码，他正在使用

<form action="<?php echo $_SERVER['PHP_SELF']; ?>" />

我想知道它是否受XSS限制，但是当我尝试时：

form.php"><script>alert('xss');</script> => 404未从Apache找到
form.php/"><script>alert('xss');</script> => 404来自我的应用

我必须指定我也将url中的？action = specific_page正常使用。

这是否意味着使用PHP_SELF不可能实现XSS，或者这意味着我尝试了错误的方法？

1 个解决方案

如果您的表单位于form.php脚本中，请尝试在浏览器中使用URL访问它，例如http://yoursite.com/form.php/"><script>alert('XSS')</script>它很容易注射。

如果不执行任何操作，则您的配置至少在此特定文件中阻止该操作。

（当然，无论如何，您都应该使用类似htmlspecialchars($_SERVER['SCRIPT_NAME'])的东西。）

Codeigniter $ _SERVER ['PHP_SELF']在视图中不起作用

[英]Codeigniter $_SERVER['PHP_SELF'] not working in views

[英]Working with PHP_SELF

$ _SERVER ['PHP_SELF']有问题

[英]problem with $_SERVER['PHP_SELF']

PHP_SELF无法正常工作

[英]PHP_SELF not working as expected

嵌套的报价问题-$ _SERVER ['PHP_SELF']不起作用

[英]Nested quotations issue - $_SERVER['PHP_SELF'] not working

通过Android连接时，$ _ SERVER ['PHP_SELF']不起作用

[英]$_SERVER['PHP_SELF'] not working when connecting through Android

php `$_SERVER['PHP_SELF']` 为空

[英]php `$_SERVER['PHP_SELF']` is empty

过滤PHP的$ _SERVER ['PHP_SELF']

[英]Filter PHP's $_SERVER['PHP_SELF']

使用elseif $ _SERVER ['PHP_SELF']重定向URL

[英]Redirecting URL with elseif $_SERVER['PHP_SELF']

$ _SERVER [“ PHP_SELF”]的原因是什么

[英]What is the reason of $_SERVER[“PHP_SELF”]

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Codeigniter $ _SERVER ['PHP_SELF']在视图中不起作用使用PHP_SELF $ _SERVER ['PHP_SELF']有问题 PHP_SELF无法正常工作嵌套的报价问题-$ _SERVER ['PHP_SELF']不起作用通过Android连接时，$ _ SERVER ['PHP_SELF']不起作用 php `$_SERVER['PHP_SELF']` 为空过滤PHP的$ _SERVER ['PHP_SELF'] 使用elseif $ _SERVER ['PHP_SELF']重定向URL $ _SERVER [“ PHP_SELF”]的原因是什么

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM