簡體 English 中英

$ _SERVER ['PHP_SELF']漏洞不“起作用”嗎？

[英]$_SERVER['PHP_SELF'] vulnerability not “working”?

原文 2012-11-06 09:23:52 1 1 php/ security

看着客戶的舊代碼，他正在使用

<form action="<?php echo $_SERVER['PHP_SELF']; ?>" />

我想知道它是否受XSS限制，但是當我嘗試時：

form.php"><script>alert('xss');</script> => 404未從Apache找到
form.php/"><script>alert('xss');</script> => 404來自我的應用

我必須指定我也將url中的？action = specific_page正常使用。

這是否意味着使用PHP_SELF不可能實現XSS，或者這意味着我嘗試了錯誤的方法？

1 個解決方案

如果您的表單位於form.php腳本中，請嘗試在瀏覽器中使用URL訪問它，例如http://yoursite.com/form.php/"><script>alert('XSS')</script>它很容易注射。

如果不執行任何操作，則您的配置至少在此特定文件中阻止該操作。

（當然，無論如何，您都應該使用類似htmlspecialchars($_SERVER['SCRIPT_NAME'])的東西。）

Codeigniter $ _SERVER ['PHP_SELF']在視圖中不起作用

[英]Codeigniter $_SERVER['PHP_SELF'] not working in views

[英]Working with PHP_SELF

$ _SERVER ['PHP_SELF']有問題

[英]problem with $_SERVER['PHP_SELF']

PHP_SELF無法正常工作

[英]PHP_SELF not working as expected

嵌套的報價問題-$ _SERVER ['PHP_SELF']不起作用

[英]Nested quotations issue - $_SERVER['PHP_SELF'] not working

通過Android連接時，$ _ SERVER ['PHP_SELF']不起作用

[英]$_SERVER['PHP_SELF'] not working when connecting through Android

php `$_SERVER['PHP_SELF']` 為空

[英]php `$_SERVER['PHP_SELF']` is empty

過濾PHP的$ _SERVER ['PHP_SELF']

[英]Filter PHP's $_SERVER['PHP_SELF']

使用elseif $ _SERVER ['PHP_SELF']重定向URL

[英]Redirecting URL with elseif $_SERVER['PHP_SELF']

$ _SERVER [“ PHP_SELF”]的原因是什么

[英]What is the reason of $_SERVER[“PHP_SELF”]

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Codeigniter $ _SERVER ['PHP_SELF']在視圖中不起作用使用PHP_SELF $ _SERVER ['PHP_SELF']有問題 PHP_SELF無法正常工作嵌套的報價問題-$ _SERVER ['PHP_SELF']不起作用通過Android連接時，$ _ SERVER ['PHP_SELF']不起作用 php `$_SERVER['PHP_SELF']` 為空過濾PHP的$ _SERVER ['PHP_SELF'] 使用elseif $ _SERVER ['PHP_SELF']重定向URL $ _SERVER [“ PHP_SELF”]的原因是什么

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM