$_SERVER[‘SCRIPT_NAME’]のススメ($_SERVER[‘PHP_SELF’])

■結論

まぁ、用途によるんだが脆弱性になるから、$_SERVER[‘PHP_SELF’]はやめてなるべく$_SERVER[‘SCRIPT_NAME’]にしようよって事。

■サンプル

PHP

<?php
echo($_SERVER['SCRIPT_NAME']);
echo('<br />');
echo($_SERVER['PHP_SELF']);
?>

ブラウザのURLに以下のようにしてリクエスト

http://○○○○.com/test.php/<script>alert(document.cookie);</script>

クッキー丸見えですね。。。コレをクエリにくっつけて悪人のサイトにリダイレクトされちゃうと、悪人のサイトのアクセスログにクッキーが送られてしまうわけですな。恐

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です