不要轻信 PHP_SELF的安全问题
程序员文章站
2023-11-26 12:44:58
复制代码 代码如下:
<html>
<body>
<?php
if (isset($_request['submitted']) && $_request['submitted'] == '1') {
echo "form submitted!";
}
?>
<form action="<?php echo $_server['php_self']; ?>">
<input type="hidden" name="submitted" value="1" />
<input type="submit" value="submit!" />
</form>
</body>
</html>
复制代码 代码如下:
<html>
<body>
<?php
if (isset($_request['submitted']) && $_request['submitted'] == '1') {
echo "form submitted!";
}
?>
<form action="<?php echo $_server['php_self']; ?>">
<input type="hidden" name="submitted" value="1" />
<input type="submit" value="submit!" />
</form>
</body>
</html>
看似准确无误的代码,但是暗藏着危险。让我们将其保存为 foo.php ,然后放到 php 环境中使用
foo.php/%22%3e%3cscript%3ealert('xss')%3c/script%3e%3cfoo
访问,会发现弹出个 javascript 的 alert -- 这很明显又是个 xss 的注入漏洞。究其原因,发现是在
echo $_server['php_self'];
这条语句上直接输出了未过滤的值。追根数源,我们看下 php 手册的描述
'php_self'
the filename of the currently executing script, relative to the document root.
for instance, $_server['php_self'] in a script at the address
http://example.com/test.php/foo.bar would be /test.php/foo.bar. the __file__
constant contains the full path and filename of the current (i.e. included) file.
if php is running as a command-line processor this variable contains the script
name since php 4.3.0. previously it was not available.
原因很明确了,原来是 $_server['php_self'] 虽然“看起来”是服务器提供的环境变量,但这的确和 $_post 与 $_get 一样,是可以被用户更改的。
其它类似的变量有很多,比如 $_cookie 等(如果用户想“把玩”他们的 cookie,那我们也是没有办法)。解决方案很简单,使用 、 等此类函数过滤或者转义。
echo htmlentities($_server['php_self']);
-- split --
上述的例子让我们需要时刻保持谨慎 coding 的心态。chris shiflett 在他的 blog ,防止 xss 的两个基本的安全思想就是
filter input
escape output
我将上面翻译成 “”。详细的内容,可以参考他 blog 的,此处略。