$_SERVER['SCRIPT_NAME']のススメ($_SERVER['PHP_SELF'])
■結論
まぁ、用途によるんだが脆弱性になるから、$_SERVER['PHP_SELF']はやめてなるべく$_SERVER['SCRIPT_NAME']にしようよって事。
■サンプル
PHP
<?php
echo($_SERVER['SCRIPT_NAME']);
echo('<br />');
echo($_SERVER['PHP_SELF']);
?>
ブラウザのURLに以下のようにしてリクエスト
http://○○○○.com/test.php/<script>alert(document.cookie);</script>
クッキー丸見えですね。。。コレをクエリにくっつけて悪人のサイトにリダイレクトされちゃうと、悪人のサイトのアクセスログにクッキーが送られてしまうわけですな。恐
トラックバック URL :
コメント (0)
