@blog.justoneplanet.info

日々勉強

$_SERVER[‘SCRIPT_NAME’]のススメ($_SERVER[‘PHP_SELF’])

■結論

まぁ、用途によるんだが脆弱性になるから、$_SERVER[‘PHP_SELF’]はやめてなるべく$_SERVER[‘SCRIPT_NAME’]にしようよって事。

■サンプル

PHP

<?php
echo($_SERVER['SCRIPT_NAME']);
echo('<br />');
echo($_SERVER['PHP_SELF']);
?>

ブラウザのURLに以下のようにしてリクエスト

http://○○○○.com/test.php/<script>alert(document.cookie);</script>

クッキー丸見えですね。。。コレをクエリにくっつけて悪人のサイトにリダイレクトされちゃうと、悪人のサイトのアクセスログにクッキーが送られてしまうわけですな。恐

コメントはまだありません»

No comments yet.

RSS feed for comments on this post.TrackBack URL

Leave a comment