Najnovšie na Twitteri
    sledujte môj Twitter
    Moje projekty

    Nebezpečné PHP_SELF

    Publikované: 05.05.2009 19:58 | Zobrazené: 819x

    Ako bez veľkého úsilia zabezpečujete správne fungovanie vašich skriptov pracujúcich s file systémom na testovacom a zároveň ostrom serveri? Ja mám v globálnom konfiguračnom súbore vždy niekoľko patričných konštánt, ktoré smerujú na root adresár webu. Niekto iný sa zase spolieha na magické konštanty __FILE__, __DIR__ a superglobálne pole $_SERVER. Ak patríte k tým druhým, pozor na premennú $_SERVER['PHP_SELF'].

    Uvažujme len jednoduchý príklad: 

    <?php
echo $_SERVER['PHP_SELF'];
?>
    Súbor bude umiestnený napríklad na adrese: http://priklad.sk/subor.php. Čo sa stane, ak niekomu podstrčíme takúto linku? 

    http://priklad.sk/subor.php/%3Cscript%3Ealert('xss%20chyba')%3C/script%3E

    Vyskúšajte. Ochranou je správne escapovanie (napr. htmlentities, htmlspecialchars).

    Pošli na: Facebook   vybrali.sme.sk
    Tagy: , , ,
    Komentáre:

    Zatiaľ nie sú žiadne komentáre.

    Pridať komentár