Насколько «защищенным от взлома» является переменная $ _SERVER в php?

Question

Буду ли я рисковать безопасностью, доверяя содержимому массива переменных $ _SERVER, чтобы получить имя php-файла, используя $ _SERVER ['PHP_SELF']??

Answer 1

Многие, но не все переменные $ _SERVER контролируются злоумышленником .Например, $_SERVER['SCRIPT_NAME'] безопасен, так как $_SEVER['PHP_SELF'] является переменной опасной переменной и часто является источником xss:

<?php
echo $_SEVER['PHP_SELF'];
?>

PoC:

http://localhost/self.php/<script>alert(/xss/)</script>

Это легко увидетьЭта уязвимость в действии, глядя на phpinfo .

Answer 2

С руководство php.net :

Записи в этом массиве создаются веб-сервером. Нет никакой гарантии, что каждый веб-сервер предоставит какой-либо из них; серверы могут пропустить некоторые или предоставить другие, не перечисленные здесь.

Итак, если вам известны все пользователи, которые имеют доступ к изменению конфигурации сервера (и все сценарии в вашем сеансе, которые могут изменять содержимое переменной), вы можете быть достаточно уверены в данных переменной $_SERVER. 1010 *

Answer 3

Не существует специального механизма для защиты этой переменной.Вы можете написать в него, как вы можете в любой другой переменной.Таким образом, вы должны защитить его от несанкционированного доступа, как и любая другая переменная (отключите register_globals, избегайте переменных переменных и т. Д.).Тогда вы можете доверять этому.

В качестве обходного пути, чтобы быть уверенным, вы можете определить свои собственные константы в начале своей программы:

define('SCRIPT_FILENAME',$_SERVER['SCRIPT_FILENAME']);

и использовать предопределенные константы, где они доступны, например, __FILE__.

Answer 4

Вовсе нет, это вообще не может быть риском, если вы не используете данные пользователя.То есть используйте один из них:

echo __FILE__;
// is the same as
echo $_SERVER["SCRIPT_FILENAME"];

echo $_SERVER["SCRIPT_NAME"];
// SCRIPT_NAME contains just the path