$_SERVER['SCRIPT_NAME']のススメ($_SERVER['PHP_SELF'])
■結論
まぁ、用途によるんだが脆弱性になるから、$_SERVER['PHP_SELF']はやめてなるべく$_SERVER['SCRIPT_NAME']にしようよって事。
■サンプル
PHP
<?php
echo($_SERVER['SCRIPT_NAME']);
echo('<br />');
echo($_SERVER['PHP_SELF']);
?>
ブラウザのURLに以下のようにしてリクエスト
http://○○○○.com/test.php/<script>alert(document.cookie);</script>
クッキー丸見えですね。。。コレをクエリにくっつけて悪人のサイトにリダイレクトされちゃうと、悪人のサイトのアクセスログにクッキーが送られてしまうわけですな。恐
TrackBack URL :
Comments (0)
コメントはまだありません»
コメントはまだありません。
この投稿へのコメントの RSS フィード。TrackBack URL
コメントする