@blog.justoneplanet.info

JavaScript、PHP、MySQLを使ったり

$_SERVER['SCRIPT_NAME']のススメ($_SERVER['PHP_SELF'])

■結論

まぁ、用途によるんだが脆弱性になるから、$_SERVER['PHP_SELF']はやめてなるべく$_SERVER['SCRIPT_NAME']にしようよって事。

■サンプル

PHP

<?php
echo($_SERVER['SCRIPT_NAME']);
echo('<br />');
echo($_SERVER['PHP_SELF']);
?>

ブラウザのURLに以下のようにしてリクエスト


http://○○○○.com/test.php/<script>alert(document.cookie);</script>

クッキー丸見えですね。。。コレをクエリにくっつけて悪人のサイトにリダイレクトされちゃうと、悪人のサイトのアクセスログにクッキーが送られてしまうわけですな。恐

コメントはまだありません»

コメントはまだありません。

この投稿へのコメントの RSS フィード。TrackBack URL

コメントする