Intereting Posts
Ошибка синтаксиса статического свойства PHP OOP Удаление всего, кроме буквенно-цифровых символов из строки в PHP Основанное на MySQL веб-приложение: простой способ для пользователей выбрать порядок или элементы? Как загрузить файл в каталог в yii2? штормовой мультиланг кажется только процессом 4Mb spout, а затем останавливается cURL error 60: SSL-сертификат prblm: невозможно получить сертификат локального эмитента Почему readfile () действует странно при чтении php-файла, но отлично работает в текстовом файле Отображать значения, указанные в таблице 2, но НЕ в таблице 1 Как установить AND условие для ВСЕХ столбцов – php отправка массивов в _GET в php Zend Framework: проверьте, установлен ли Zend View Placeholder PHP SQL, запрос возвращает только одну строку данных Нужна помощь в преобразовании формулы PV в PHP асинхронная обработка с PHP – один рабочий на работу CakePHP 1.3: $ this-> render () vs $ this-> element ()

Получение pagename с помощью PHP_SELF – опасности?

Я подумываю использовать PHP_SELF, чтобы захватить имя страницы, которую пользователь посещает. Я хорошо осведомлен об опасностях использования PHP_SELF в таких местах, как действия формы, хотя я не уверен, где было бы больно использовать в hrefs? Но это не относится к основному вопросу. , , так или иначе.

Существуют ли какие-либо опасности при использовании PHP_SELF для захвата страницы, на которой находится пользователь, и использования str_replace() для получения необходимой мне информации? Я не могу думать ни о чем, но это, конечно, отличное место, чтобы спросить. 😉

Благодаря!

Solutions Collecting From Web of "Получение pagename с помощью PHP_SELF – опасности?"

Да, это может быть потому, что это контролируемая атакующая переменная. Это может привести к уязвимости, например xss.

 <?php print $_SERVER['PHP_SELF']?> http://localhost/self.php/<script>alert(1)</script> 

Если возможно, вы должны использовать переменную, которую злоумышленник не может контролировать как $_SERVER["SCRIPT_FILENAME"] . Есть еще пара других, просто проверьте phpinfo () .

Ну, если вам нужен весь URL, ознакомьтесь с этим уроком . В противном случае используйте $ _SERVER ['REQUEST_URI'], чтобы получить URI текущей страницы (если url example.com/foo/bar.php даст вам foo / bar.php).