$ _SERVER [REQUEST_METHOD]可以操縱嗎?
[英]Is $_SERVER[REQUEST_METHOD] manipulable?
問題描述
在我正在開發的PHP項目中,我有幾個請求可以是POST或GET。 目前,我正在使用$ _SERVER [REQUEST_METHOD]值來確定要使用的請求數組。 我知道$ _REQUEST值可以用cookie操縱,$ _SERVER超級全球是否容易受到攻擊?
4 個解決方案
解決方案1
7 2008-12-07 01:44:12
$ _SERVER超全局由PHP填充,它從Web服務器獲取數據。
因此,除非攻擊者用自己的服務器替換Web服務器,或者管理一個非常幸運的緩沖區溢出服務器,否則你沒事。
解決方案2
0
REQUEST_METHOD不僅限於POST和GET - 您還需要處理HEAD(IIRC PHP會在看到該標題時在輸出的第一個符號處終止腳本)和(在不太可能的設置上)您可能會獲得一些WebDAV。
解決方案3
0 2008-12-07 02:23:56
在什么意義上,$ _REQUEST可以被cookie“操縱”? Cookie會覆蓋來自POST和GET的值 ,但所有三個值都由發出請求的客戶端直接控制。
如果您希望GET和POST優先於cookie,您可以在php.ini中設置變量request_order:
request_order = CGP
(它post' priority over '獲取' post' priority over於cookie)。 你甚至可以完全忽略C.
解決方案4
0 2010-12-11 08:33:02
舊線程,但由於投票最多的答案是錯誤的,安全性是一個重要的問題,我們在這里:不僅REQUEST_METHOD而且$ _SERVER中的其他值也可能被污染。
參見例如http://www.php.net/manual/en/reserved.variables.server.php#95672和http://shiflett.org/blog/2006/mar/server-name-versus-http-host
所以不要盲目相信他們。
$ _SERVER ['REQUEST_METHOD']以及同時POST和GET
[英]$_SERVER['REQUEST_METHOD'] and simultaneous POST and GET
$ _SERVER ['REQUEST_METHOD']默認情況下評估為'GET'
[英]$_SERVER['REQUEST_METHOD'] evaluates to to 'GET' by default
檢查$ _SERVER ['REQUEST_METHOD'] =='POST'的原因?
[英]Reason for checking if $_SERVER['REQUEST_METHOD'] == 'POST'?
$_SERVER["REQUEST_METHOD"] == "POST" 中未定義的索引
[英]Undefined index in $_SERVER["REQUEST_METHOD"] == "POST"
如何將$ _SERVER ['REQUEST_METHOD']並置為字符串
[英]How to Concacenate $_SERVER['REQUEST_METHOD'] to a string
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
$_SERVER['REQUEST_METHOD'] 在服務器上不起作用
$ _SERVER ['REQUEST_METHOD']以及同時POST和GET
為什么$ _SERVER ['REQUEST_METHOD']總是GET?
$ _SERVER ['REQUEST_METHOD']默認情況下評估為'GET'
內部$ _SERVER [“ REQUEST_METHOD”]表單的CSRF
檢查$ _SERVER ['REQUEST_METHOD'] =='POST'的原因?
$ _SERVER [“ REQUEST_METHOD”] ==“ POST”給出錯誤
$ _SERVER ['REQUEST_METHOD']仍然可行嗎?
$_SERVER["REQUEST_METHOD"] == "POST" 中未定義的索引
如何將$ _SERVER ['REQUEST_METHOD']並置為字符串
相關標簽