NetImperia Life

27Июн/100

Великая беда PHP_SELF

php

Не знаю, почему так повелось. Но многие программисты очень любят использовать $_SERVER['PHP_SELF'] для подставления его на страницах в качестве URL форм и не только.

Но что меня уже давно удивляет. Так это то, что многие до сих пор не знают, что в PHP_SELF может оказаться не только URL, но и другие произвольные данные.

А теперь представим, что у нас есть форма с SSL, где все должно быть защищено по максимуму.

И программист ставит туда $_SERVER['PHP_SELF'].

Потом какой-то хакер переправляет пользователя на эту форму по ссылке. Например, такой:

https://www.someurl.com/payment.php/%27%22%3E%3Cscript%3Ealert%286635%29%3C/script%3E

И что у нас будет в результате?  Правильно, произвольный JavaScript код на странице.

Таким образом, можно украсть данные пользователя или еще чего.

Пожалуйста, завязывайте с PHP_SELF. Я уже устал заделывать эту дырку на чужих сайтах …

 

 

Комментарии (0) Пинги (0)

Пока нет комментариев.


Leave a comment

Нет обратных ссылок на эту запись.