Question

Мне нужно использовать переменные $ _SERVER, такие как SCRIPT_FILENAME, для среды mvc, которую я пишу. Мне интересно, может ли пользователь изменить такие вещи. Скажем, пользователь запрашивает index.php, могут ли они подделать переменную SCRIPT_FILENAME и переименовать ее во что-то еще, что отправляется?

ceejayoz · Answer 1 · 03 октября 2009

Некоторые значения $_SERVER безопасны, другие - нет. Небезопасные в основном начинаются с HTTP_ и представляют собой заголовки HTTP, отправляемые браузером пользователя.

Graviton · Answer 2 · 03 октября 2009

Да, это возможно.

См. это сообщение: Как обойти проверку безопасности REFERER .

known · Answer 3 · 03 октября 2009

Если предположить, что у пользователя нет доступа к какому-либо способу перенаправления выполнения сценария через другой сценарий или доступа к серверу, я бы сказал, нет. Кроме того, если вы действительно беспокоитесь об этом, вы можете использовать __FILE__, который не зависит от пользовательских данных.

Могут ли переменные $ _SERVER в PHP быть изменены пользователем? Если так, то как?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Могут ли переменные $ _SERVER в PHP быть изменены пользователем? Если так, то как?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов