不要轻信 PHP_SELF的安全问题 |
|
本文标签:PHP_SELF,安全问题 复制代码 代码如下: <html> <body> <?php if (isset($_REQUEST[submitted]) && $_REQUEST[submitted] == 1) { echo "Form submitted!"; } ?> <form action="<?php echo $_SERVER[PHP_SELF]; ?>"> <input type="hidden" name="submitted" value="1" /> <input type="submit" value="Submit!" /> </form> </body> </html> 看似准确无误的代码,但是暗藏着危险 。让我们将其保存为 foo.php ,然后放到 PHP 环境中使用 foo.php/%22%3E%3Cscript%3Ealert(xss)%3C/script%3E%3Cfoo 访问,会发现弹出个 Javascript 的 alert -- 这很明显又是个 XSS 的注入漏洞 。究其原因,发现是在 echo $_SERVER[PHP_SELF]; 这条语句上直接输出了未过滤的值 。追根数源,我们看下 PHP 手册的描述 PHP_SELF 原因很明确了,原来是 $_SERVER[PHP_SELF] 虽然“看起来”是服务器提供的环境变量,但这的确和 $_POST 与 $_GET 一样,是可以被用户更改的 。 其它类似的变量有很多,比如 $_COOKIE 等(如果用户想“把玩”他们的 cookie,那我们也是没有办法) 。解决方案很简单,使用 strip_tags、htmlentities 等此类函数过滤或者转义 。 echo htmlentities($_SERVER[PHP_SELF]); -- Split -- 上述的例子让我们需要时刻保持谨慎 coding 的心态 。Chris Shiflett 在他的 Blog 总结的相当直白,防止 XSS 的两个基本的安全思想就是 Filter input 我将上面翻译成 “过滤输入,转义输出” 。详细的内容,可以参考他 Blog 的这篇文章,此处略 。 |
