Защита переменных $ _SERVER

Question

Я работаю над огромным веб-приложением, которое в значительной степени зависит от использования $ _SERVER [php_self] и $ _SERVER [строка запроса] - я знаю, что это ужасные практики, однако клиент заботится только о том, чтобы его исправили на короткое время термин, и поверьте мне, это огромный, поэтому я должен найти способ защитить переменные. В качестве примера можно привести действие формы php_self и строку запроса, если она задана, поэтому довольно легко связываться с URL-адресом и выполнять некоторые операции XSS. Поэтому мое сверхбыстрое исправление состояло в том, чтобы просмотреть циклы $ _GET и htmlspecialchars их, что запретило XSS, которую я знаю (что не так уж и много), - поэтому мне было интересно, что еще можно сделать, чтобы предотвратить злоупотребление ими? Мысли

Спасибо!

Answer 1

Разве вы не можете просто использовать что-то вроде:

$_SERVER['PHP_SELF'] = htmlentities($_SERVER['PHP_SELF'])

в некотором глобально включаемом () - ed файле?

Или отключить PATHINFO на вашем веб-сервере, если это возможно.Насколько я понимаю, это тоже будет иметь большое значение.

Вот еще некоторая информация, которая может быть полезна: http://www.mc2design.com/blog/php_self-safe-alternatives

Answer 2

Данные хранятся в базе данных? Следующей наиболее вероятной формой злоупотребления являются атаки с использованием SQL-инъекций. Преобразование одинарных кавычек в 'должно значительно усложнить это.

Конечно, это неправильный способ исправить ситуацию. Но когда ваш дом горит, иногда вы не можете беспокоиться о небольшом повреждении водой.